Règlement sur les atteintes aux mesures de sécurité (DORS/2018-64)
Texte complet :
- HTMLTexte complet : Règlement sur les atteintes aux mesures de sécurité (Boutons d’accessibilité disponibles) |
- XMLTexte complet : Règlement sur les atteintes aux mesures de sécurité [12 KB] |
- PDFTexte complet : Règlement sur les atteintes aux mesures de sécurité [114 KB]
Règlement à jour 2024-10-30; dernière modification 2018-11-01 Versions antérieures
Règlement sur les atteintes aux mesures de sécurité
DORS/2018-64
LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET LES DOCUMENTS ÉLECTRONIQUES
Enregistrement 2018-03-27
Règlement sur les atteintes aux mesures de sécurité
C.P. 2018-368 2018-03-26
Sur recommandation du ministre de l’Industrie et en vertu du paragraphe 26(1)Note de bas de page a de la Loi sur la protection des renseignements personnels et les documents électroniquesNote de bas de page b, Son Excellence la Gouverneure générale en conseil prend le Règlement sur les atteintes aux mesures de sécurité, ci-après.
Retour à la référence de la note de bas de page aL.C. 2015, ch. 32, art. 21
Retour à la référence de la note de bas de page bL.C. 2000, ch. 5
Définition
Note marginale :Définition de Loi
1 Dans le présent règlement, Loi s’entend de la Loi sur la protection des renseignements personnels et les documents électroniques.
Déclaration au commissaire
Note marginale :Contenu et modalités de la déclaration
2 (1) La déclaration d’atteinte aux mesures de sécurité visée au paragraphe 10.1(2) de la Loi est faite par écrit et contient les renseignements suivants :
a) les circonstances de l’atteinte et, si elle est connue, la cause de l’atteinte;
b) la date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période;
c) la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;
d) le nombre d’individus visé par l’atteinte ou, s’il n’est pas connu, une approximation de ce nombre;
e) les mesures que l’organisation a prises afin de réduire le risque de préjudice à l’endroit des intéressés qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;
f) les mesures que l’organisation a prises ou qu’elle entend prendre afin d’aviser les intéressés de toute atteinte en application du paragraphe 10.1(3) de la Loi;
g) le nom et les coordonnées d’une personne qui peut répondre au nom de l’organisation aux questions du commissaire au sujet de l’atteinte.
Note marginale :Nouveaux renseignements
(2) L’organisation peut transmettre au commissaire tout nouveau renseignement visé au paragraphe (1) dont elle prend connaissance après avoir fait la déclaration.
Note marginale :Moyen de communication
(3) La déclaration peut être transmise au commissaire par tout moyen de communication sécurisé.
Avis à l’intéressé
Note marginale :Contenu de l’avis
3 L’avis donné par l’organisation, en application du paragraphe 10.1(3) de la Loi à l’intéressé, relativement à l’atteinte aux mesures de sécurité, contient les renseignements suivants :
a) les circonstances de l’atteinte;
b) la date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période;
c) la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;
d) les mesures que l’organisation a prises afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte;
e) les mesures que peut prendre tout intéressé afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;
f) les coordonnées permettant à l’intéressé de se renseigner davantage au sujet de l’atteinte.
Note marginale :Avis direct — modalités
4 Pour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné directement à l’intéressé en personne, par téléphone, par courrier, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait acceptable dans les circonstances.
Note marginale :Avis indirect — circonstances
5 (1) Pour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné indirectement par l’organisation dans l’une ou l’autre des circonstances suivantes :
a) le fait de donner l’avis directement est susceptible de causer un préjudice accru à l’intéressé;
b) le fait de donner l’avis directement est susceptible de représenter une difficulté excessive pour l’organisation;
c) l’organisation n’a pas les coordonnées de l’intéressé.
Note marginale :Avis indirect — modalités
(2) Pour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné indirectement par une communication publique ou par toute mesure similaire dont on peut raisonnablement s’attendre à ce qu’elle permette de joindre l’intéressé.
Tenue du registre
Note marginale :Registre — modalité
6 (1) Pour l’application du paragraphe 10.3(1) de la Loi, l’organisation conserve le registre de toute atteinte aux mesures de sécurité pendant vingt-quatre mois après la date à laquelle elle conclut qu’il y a eu atteinte.
Note marginale :Conformité
(2) Le registre visé au paragraphe 10.3(1) de la Loi contient tout renseignement qui permet au commissaire de vérifier la conformité aux paragraphes 10.1(1) et (3) de la Loi.
Entrée en vigueur
Note marginale :L.C. 2015, ch. 32
Note de bas de page *7 Le présent règlement entre en vigueur à la date d’entrée en vigueur de l’article 10 de la Loi sur la protection des renseignements personnels numériques ou, si elle est postérieure, à la date de son enregistrement.
Retour à la référence de la note de bas de page *[Note : Règlement en vigueur le 1er novembre 2018, voir TR/2018-32.]
- Date de modification :