Government of Canada / Gouvernement du Canada
Symbole du gouvernement du Canada

Recherche

Règlement sur les atteintes aux mesures de sécurité (DORS/2018-64)

Règlement à jour 2021-03-23; dernière modification 2018-11-01 Versions antérieures

Règlement sur les atteintes aux mesures de sécurité

DORS/2018-64

LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET LES DOCUMENTS ÉLECTRONIQUES

Enregistrement 2018-03-27

Règlement sur les atteintes aux mesures de sécurité

C.P. 2018-368 2018-03-26

Sur recommandation du ministre de l’Industrie et en vertu du paragraphe 26(1)Note de bas de page a de la Loi sur la protection des renseignements personnels et les documents électroniquesNote de bas de page b, Son Excellence la Gouverneure générale en conseil prend le Règlement sur les atteintes aux mesures de sécurité, ci-après.

Définition

Note marginale :Définition de Loi

 Dans le présent règlement, Loi s’entend de la Loi sur la protection des renseignements personnels et les documents électroniques.

Déclaration au commissaire

Note marginale :Contenu et modalités de la déclaration

  •  (1) La déclaration d’atteinte aux mesures de sécurité visée au paragraphe 10.1(2) de la Loi est faite par écrit et contient les renseignements suivants :

    • a) les circonstances de l’atteinte et, si elle est connue, la cause de l’atteinte;

    • b) la date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période;

    • c) la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;

    • d) le nombre d’individus visé par l’atteinte ou, s’il n’est pas connu, une approximation de ce nombre;

    • e) les mesures que l’organisation a prises afin de réduire le risque de préjudice à l’endroit des intéressés qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;

    • f) les mesures que l’organisation a prises ou qu’elle entend prendre afin d’aviser les intéressés de toute atteinte en application du paragraphe 10.1(3) de la Loi;

    • g) le nom et les coordonnées d’une personne qui peut répondre au nom de l’organisation aux questions du commissaire au sujet de l’atteinte.

  • Note marginale :Nouveaux renseignements

    (2) L’organisation peut transmettre au commissaire tout nouveau renseignement visé au paragraphe (1) dont elle prend connaissance après avoir fait la déclaration.

  • Note marginale :Moyen de communication

    (3) La déclaration peut être transmise au commissaire par tout moyen de communication sécurisé.

Avis à l’intéressé

Note marginale :Contenu de l’avis

 L’avis donné par l’organisation, en application du paragraphe 10.1(3) de la Loi à l’intéressé, relativement à l’atteinte aux mesures de sécurité, contient les renseignements suivants :

  • a) les circonstances de l’atteinte;

  • b) la date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période;

  • c) la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;

  • d) les mesures que l’organisation a prises afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte;

  • e) les mesures que peut prendre tout intéressé afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;

  • f) les coordonnées permettant à l’intéressé de se renseigner davantage au sujet de l’atteinte.

Note marginale :Avis direct — modalités

 Pour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné directement à l’intéressé en personne, par téléphone, par courrier, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait acceptable dans les circonstances.

Note marginale :Avis indirect — circonstances

  •  (1) Pour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné indirectement par l’organisation dans l’une ou l’autre des circonstances suivantes :

    • a) le fait de donner l’avis directement est susceptible de causer un préjudice accru à l’intéressé;

    • b) le fait de donner l’avis directement est susceptible de représenter une difficulté excessive pour l’organisation;

    • c) l’organisation n’a pas les coordonnées de l’intéressé.

  • Note marginale :Avis indirect — modalités

    (2) Pour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné indirectement par une communication publique ou par toute mesure similaire dont on peut raisonnablement s’attendre à ce qu’elle permette de joindre l’intéressé.

Tenue du registre

Note marginale :Registre — modalité

  •  (1) Pour l’application du paragraphe 10.3(1) de la Loi, l’organisation conserve le registre de toute atteinte aux mesures de sécurité pendant vingt-quatre mois après la date à laquelle elle conclut qu’il y a eu atteinte.

  • Note marginale :Conformité

    (2) Le registre visé au paragraphe 10.3(1) de la Loi contient tout renseignement qui permet au commissaire de vérifier la conformité aux paragraphes 10.1(1) et (3) de la Loi.

Entrée en vigueur

Note marginale :L.C. 2015, ch. 32

Note de bas de page * Le présent règlement entre en vigueur à la date d’entrée en vigueur de l’article 10 de la Loi sur la protection des renseignements personnels numériques ou, si elle est postérieure, à la date de son enregistrement.

 
Date de modification :