Speak now or forever hold your peace!

Author: Christine A. Carron, Ad. E, Norton Rose Fulbright

Article original 

Consultations on breach reporting regulations under PIPEDA now underway

In June 2015, the Parliament of Canada adopted the Digital Privacy Act (the Act) that amends PIPEDA to provide for mandatory breach reporting to the privacy commissioner and the affected individuals in circumstances very similar to those under Alberta’s Personal Information Protection Act. However, the reporting requirements do not come into effect until the regulations regarding the particulars of the notice have been enacted.

So now is the time to help shape the regulations that will define your obligations moving forward.
It will be recalled that the Act requires breach reporting if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm. It provides for three criteria to be considered when determining the answer to that question.

Stakeholders are being asked some 26 questions on a range of issues, including whether the criteria to be used for breach reporting should be further defined, whether the content of the notice should be mandated as well as whether and for how long details of any breach – even those not meeting the mandatory notice threshold – should be retained.

Preserving reporting flexibility

Under the Act and the Alberta legislation, organizations now have considerable latitude in the means of communicating information about a breach (email, in person, by mail) and the contents of that communication to the individuals affected provided that the notice is sufficiently detailed to permit individuals to mitigate their damages. This flexibility has served organizations well in the context of breaches covered by Alberta’s legislation and if stakeholders feel it should be preserved they should speak up now.

Equally worthy of commentary are the proposals concerning notice of the breach to third parties who are in a position to attenuate the risk of prejudice.

Adjustments for specific industries are possible

The proposed regulations have the potential to affect all businesses in Canada. Because the government has shown an openness to consider tailoring some of their provisions to industries demonstrating a need, it is important to speak up now.

After this initial consultation period, which comes to a close at the end of May, the government will publish draft regulations and will allow further public comment. However, it is always better to shape the regulations before they are published than attempt to modify them once they have been drafted.


  • Christine A. Carron, Ad. E., Montréal
  • Kateri-Anne Grenier, Québec
  • Steve J. Tenai, Toronto
  • Anthony (Tony) Morris, Calgary

Articles in the same category

Leave a comment

Cyber Security News

Écoutez notre webinaire Gratuit

« Protection des données de votre entreprise en mode télétravail ; est-ce un défi réalisable? »

Je veux écouter le webinaire gratuit sur le télétravail

Nous vous envoyons le lien pour écouter le webinaire par courriel. De temps en temps, vous recevrez également des informations pertinentes sur les enjeux de cybersécurité qui peuvent vous concerner (actualités, article de blog ou autres webinaires).

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.