Évitez des amendes potentielles jusqu’à 100 000 $ en vous conformant aux nouvelles exigences fédérales qui entrent en vigueur le 1er novembre concernant les atteintes à la protection des données.
À partir du 1er novembre, les détaillants doivent aviser le Commissariat à la protection de la vie privée du Canada (CPVP) s’ils subissent une atteinte à la protection des données présentant un « risque réel de préjudice grave ». Ils doivent en faire la déclaration en précisant les informations personnelles dont ils ont la gestion.
Tenue de dossiers : Vous devez tenir un dossier des mesures de sécurité et de toutes les atteintes à la protection
des données, qu’une atteinte réunisse ou non les critères rendant sa déclaration nécessaire.
Un « risque réel de préjudice grave » est établi en fonction de deux paramètres :
- Le degré de sensibilité des renseignements personnels visés. Par exemple, des renseignements déjà publics
et accessibles ailleurs (p. ex. en ligne, dans l’annuaire, etc.) peuvent avoir un degré de sensibilité inférieur
à des numéros de carte de crédit. - La probabilité que les renseignements personnels aient été, soient ou seront utilisés à mauvais escient.
Déclaration : Vous devez également aviser toute autre organisation susceptible de pouvoir atténuer le risque
de préjudice aux intéressés.
Par exemple, vous devez prévenir :
- Les forces de l’ordre si une attaque contre votre système informatique provient d’un État ou d’un acteur économique malveillant.
- Les banques et les sociétés de carte de crédit si les informations sur les paiements de vos clients sont compromises.
Pénalités : Omettre de déclarer une atteinte ou de tenir un dossier constitue une infraction en vertu des nouvelles lois
et est passible d’une amende pouvant s’élever à 100 000 $.
Actions entreprises par le CCCD :
- Les réussites du CCCD à ce jour :
- Des exigences de déclaration raisonnables, c’est-à-dire uniquement en cas d’incident présentant un risque
de préjudice grave. - La capacité, au sein de votre entreprise, de déterminer ce qui constitue un préjudice grave.
- La capacité de déterminer ce qui doit être déclaré (information directement liée à un incident).
- Des exigences de déclaration raisonnables, c’est-à-dire uniquement en cas d’incident présentant un risque
- Le CCCD informera les membres de tout nouveau développement, notamment au sujet des directives relatives
aux activités d’application et d’observation des exigences menées par le gouvernement.
Pour en savoir davantage, veuillez consulter la page du site du Commissariat à la protection de la vie privée consacrée aux obligations de déclaration des atteintes.
Si vous avez des questions ou des préoccupations, n’hésitez pas à communiquer avec Jason McLinton, Vice-président, Division Alimentation et Affaires réglementaires, à jmclinton@retailcouncil.org ou au 613 656-7903, ou avec Marc Fortin, Président CCCD Québec à mfortin@cccd-rcc.org ou au 514-316-7620.