Justin Tang Justin Tang / La Presse Canadienne

TORONTO — La réglementation fédérale sur les brèches dans la protection de renseignements personnels devant entrer en vigueur le 1er novembre exigera le signalement d’incidents «présentant un risque réel de préjudice», tout en accordant de la flexibilité aux entreprises dans la manière d’informer les Canadiens.

Le gouvernement fédéral a précisé les exigences attendues de longue date dans la Gazette du Canada, où il est affirmé qu’Ottawa veut protéger les consommateurs tout en évitant d’accabler les organisations du secteur privé avec des mesures trop complexes ou des coûts excessifs.

Le règlement exige aux organisations de déterminer si une «atteinte à la protection des données» présente un risque à des individus dont les renseignements sont touchés, et puis d’avertir ces personnes et le commissaire fédéral à la protection de la vie privée «le plus tôt possible».

Les entreprises auront la latitude d’utiliser toute forme de communication qui serait considérée «acceptable par une personne raisonnable», que ce soit par téléphone, par courrier ou par courriel.

Le règlement relatif à la Loi sur la protection des renseignements personnels et les documents électroniques a suscité des réactions mitigées, jeudi, après l’avis publié dans la Gazette la veille.

L’avocat Jean-Marc Leclerc, partenaire de la firme torontoise Sotos ayant lancé une action collective contre Equifax Canada, a salué le fait que l’obligation de signaler des brèches de sécurité des données soit finalement inscrite dans un règlement, bien qu’il y ait une trop grande «marge de manoeuvre» pour les organisations.

L’avocat Imran Ahmad, partenaire à Miller Thomson, a dit croire que l’amende prévue de 100 000 $ pour des violations offrait «un peu de dents» au règlement.

À la suite de consultations l’an dernier, le nouveau règlement exigera des organisations qu’elles conservent les données sur les brèches à la sécurité pendant au moins deux ans après la découverte du problème, et non cinq ans comme le recommandait le commissaire à la protection de la vie privée.

Aussi, le règlement rejette la requête du commissaire pour des rapports obligatoires sur la gestion par une organisation de l’évaluation des risques posés par une brèche à la sécurité — disant que cela excède l’intention du Parlement.

Aussi dans National :

Nous utilisons maintenant la plateforme de commentaires Facebook Comments sur notre site web. Grâce à celle-ci, vous pourrez laisser vos commentaires par l’entremise de votre compte Facebook directement sous les articles sur notre site web. Pour ceux qui ne sont pas membres du réseau social, nous vous invitons à faire vos commentaires via l’adresse courriel opinions@journalmetro.com. Merci de nous lire!