Les nouvelles dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) concernant la tenue de registres et la déclaration obligatoire des atteintes à la sécurité des renseignements personnels sont entrées en vigueur le 1er novembre 2018. Dans les cas où la loi s’applique, ces dispositions ont d’importantes répercussions sur l’administration d’un régime de retraite, qui implique en effet la collecte, l’utilisation et la communication des renseignements personnels des bénéficiaires.
Application de la LPRPDE
La LPRPDE est une loi fédérale régissant la cueillette, l’utilisation, la communication, la conservation et la destruction des renseignements personnels par les entreprises fédérales (p. ex., les banques), dans le cadre de leurs relations d’emploi et de leurs activités commerciales. Elle s’applique aussi, dans les provinces (p. ex., l’Ontario) où il n’existe pas de loi à ce sujet, à la collecte, à l’utilisation, à la communication, à la conservation et à la destruction des renseignements personnels par les organismes du secteur privé dans le cadre de leurs activités commerciales (notamment l’administration d’un régime de retraite). En revanche, elle ne vise pas les renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits par un organisme du secteur privé agissant comme employeur en rapport avec le régime de retraite.
Nouvelles exigences concernant la déclaration des atteintes à la sécurité des renseignements personnels
Les nouvelles dispositions obligent l’organisation dont relève la gestion de renseignements personnels à déclarer toute atteinte aux mesures de sécurité concernant ces renseignements s’il est raisonnable de croire qu’il y a risque d’un « préjudice grave à l’endroit d’un individu ». L’atteinte aux mesures de sécurité désigne la perte ou la communication non autorisée de renseignements personnels ou l’accès non autorisé à des renseignements personnels résultant d’une atteinte aux mesures de sécurité imposées par la LPRPDE ou de l’incapacité d’instaurer ces mesures. Le « préjudice grave », défini de manière très large, englobe l’humiliation, ainsi que la perte de possibilités d’emploi et d’occasions d’affaires ou d’activités professionnelles. La déclaration est obligatoire s’il est raisonnable de croire que l’atteinte présente un risque réel de préjudice grave. La LPRPDE prescrit les facteurs que l’organisation doit prendre en compte pour déterminer l’existence de ce risque.
Les exigences relatives à la déclaration aux intéressés impliquent plusieurs étapes, dont l’exécution sera facilitée par l’adoption de politiques et de procédures. La loi oblige à prévenir le Commissaire à la vie privée du Canada, les personnes touchées et les organisations ou institutions fédérales dont il est raisonnable de croire qu’elles peuvent réduire le risque de préjudice ou atténuer le préjudice découlant de l’atteinte aux mesures de sécurité. La LPRPDE établit les informations minimales que doit contenir la déclaration, ainsi que les modalités et le délai de notification. Le contenu de la déclaration diffère selon qu’elle est destinée au Commissaire ou à l’intéressé.
Exigences concernant la tenue d’un registre
Les organisations visées par les nouvelles dispositions de la LPRPDE obligeant à déclarer les atteintes aux mesures de sécurité doivent en outre consigner ces atteintes dans un registre. L’information consignée doit permettre au Commissaire de vérifier si l’organisation respecte la Loi, et doit être conservée pendant 24 mois suivant la date à laquelle l’organisation estime que l’atteinte a eu lieu.
Mesures attendues de l’administrateur d’un régime de retraite
Les nouvelles dispositions de la LPRPDE sont entrées en vigueur au début de novembre. Dans les cas où la loi s’applique, l’administrateur du régime doit prendre les mesures qui s’imposent pour s’y conformer. Voici certaines des mesures recommandées :
- Si l’administration du régime a été confiée en tout ou en partie à une entité externe, déterminer à qui incombe « la gestion » des renseignements personnels.
- Revoir les ententes d’impartition pour déterminer s’il y a lieu de les modifier et de préciser à qui, du fournisseur de services ou de l’administrateur, s’appliquent les nouvelles dispositions relatives à la déclaration des atteintes et à la tenue des registres. S’il s’agit de l’administrateur, déterminer s’il est nécessaire d’obtenir du fournisseur de services l’engagement contractuel de fournir l’information dont l’administrateur a besoin pour s’acquitter de ces obligations.
- Instaurer des politiques et des procédures qui faciliteront le respect de la LPRPDE (préciser, par exemple, avec qui doit communiquer l’employé qui a connaissance d’une atteinte aux mesures de sécurité, comment mener enquête, et qui doit déterminer si une déclaration s’impose et s’il y a lieu de modifier quoi que ce soit pour éviter toute nouvelle situation semblable).
- Étudier les lignes directrices publiées par le Commissaire (en cours de rédaction, mais vraisemblablement publiées sous peu) afin d’éclaircir le sens des nouvelles dispositions.
Pour toute question sur les nouvelles dispositions, prière de communiquer avec Bonnie Freedman, du groupe Respect de la vie privée et protection des renseignements personnels, ou tout membre de notre groupe Régimes de retraite et avantages sociaux.