Discours

ARCHIVÉ - Dossiers chauds en matière de protection de la vie privée : Réagir aux atteintes à la vie privée

Commentaires à l’occasion d’une séance dans le cadre du programme de perfectionnement professionnel de l’Association du Barreau de l’Ontario

Le 8 juin 2009
Toronto, Ontario

Allocution prononcée par Elizabeth Denham
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Les grands titres portant sur des fuites de données majeures ces dernières années ont remis la protection des renseignements personnels au premier plan.

Certaines atteintes à la sécurité des données — plus de 98 millions de cartes de paiement visées dans l’affaire de la TJX, et 25 millions de personnes concernées par l’incident à l’Agence britannique du revenu et des douanes — sont d’une envergure susceptible d’empêcher les responsables de la réglementation et les dirigeants d’entreprise de dormir la nuit. 

Des atteintes aussi médiatisées peuvent ébranler encore davantage la confiance des consommateurs, déjà malmenée en ces temps de récession.

De nombreux gouvernements réagissent en adoptant des lois sur le signalement obligatoire en cas d’atteinte à la sécurité des données. Au Canada, les progrès sont encourageants, mais nous n’en sommes pas à cette étape.

Il est vrai que tous ne s’entendent pas sur les avantages que nous retirions d’un régime de signalement obligatoire en cas d’atteinte à la sécurité des données.

Le Centre for Information Policy Leadership chez Hunton & Williams LLP soutient que d’après l’expérience des États-Unis, les lois sur le signalement en cas d’atteinte à la sécurité des données ne sont pas d’une grande utilité pour combattre le vol d’identité. Dans un rapport publié l’an dernier, le Centre a souligné que des preuves de vol d’identité n’avaient été relevées que dans l’une des 24 pires atteintes rendues publiques aux États-Unis entre 2000 et 2005.

Cependant, de plus récentes statistiques laissent entendre le contraire; selon un rapport sur les atteintes à la sécurité des données aux États-Unis réalisé en 2009 par Verizon Business, des criminels ont empoché 286 millions de dollars en 2008, une somme supérieure au montant cumulatif des vols commis les quatre années précédentes.

Le vol de données a pris beaucoup d’ampleur parmi les divers types d’activités du crime organisé. Au Commissariat à la protection de la vie privée, un nombre inquiétant d’atteintes signalées volontairement ont donné lieu à des activités frauduleuses, la plupart menées à l’interne par des employés, et non à l’externe par des pirates informatiques.

Mais il n’est pas ici question que de fraude et de vol d’identité. L’un des principaux objectifs du signalement en cas d’atteinte à la sécurité des données est de favoriser de meilleures mesures de sécurité. De telles mesures ne visent pas qu’à prévenir le vol d’identité; elles ont pour but la protection de la vie privée des personnes.

En ce qui a trait au signalement en cas d’atteinte à la sécurité des données, les États-Unis font réellement figure de chef de file.

La Californie a été le premier État à adopter une loi rendant obligatoire la notification de la clientèle; pratiquement tous les États américains lui ont emboîté le pas depuis.

L’an dernier, la Australian Law Reform Commission a exhorté le gouvernement australien à promulguer une loi sur le signalement en cas d’atteinte à la sécurité des données.

À la Commission européenne, une directive sur la vie privée et les communications électroniques, qui comporte une disposition sur la notification en cas d’atteinte à la sécurité des données s’appliquant aux fournisseurs publics de services Web, fait l’objet de débats.

Au pays, Industrie Canada travaille à instaurer un régime provisoire de signalement en cas d’atteinte à la sécurité des données, sur recommandation du comité parlementaire qui a procédé à l’examen général de la LPRPDE, la loi fédérale sur la protection des renseignements personnels dans le secteur privé.

Le régime comporte deux volets : la notification des particuliers et la notification du Commissariat à la protection de la vie privée.

Le modèle proposé nous convient dans l’ensemble : il s’agit d’un régime plus nuancé que celui institué par la plupart des États américains, fondé sur le préjudice et réceptif aux défis que pose une définition élargie de ce que constitue une « atteinte à la sécurité des données ».

Selon ce modèle, les organisations seraient tenues de signaler au Commissariat toute « atteinte importante à la sécurité des données » — cette formulation nous convient. Cela signifie que nous recevrons plus d’avis que les particuliers, ce qui nous permettra de jouer un rôle important au chapitre de la surveillance et de la politique publique.

Bien entendu, ce régime ne toucherait que les organisations assujetties à la loi fédérale; Industrie Canada étudie donc la question avec les administrations provinciales dotées de lois essentiellement similaires en matière de protection des renseignements personnels.

Une approche commune simplifierait la tâche des entreprises devant réagir à une atteinte à la sécurité des données et garantirait que les consommateurs canadiens jouissent des mêmes avantages, peu importe leur lieu de résidence.

À ce jour, l’Ontario est la seule province ayant adopté une disposition de signalement obligatoire en cas d’atteinte à la sécurité dans le cadre de sa Loi sur la protection des renseignements personnels sur la santé.

L’Alberta et la Colombie-Britannique ont aussi procédé à l’examen de leurs lois respectives en matière de protection des renseignements personnels, et les comités législatifs des deux provinces ont recommandé l’ajout d’exigences relatives au signalement.

En fait, le comité de l’Alberta est allé jusqu’à proposer d’ériger en infraction le fait de ne pas aviser la commissaire à la protection de la vie privée d’une atteinte à la protection des renseignements personnels lorsqu’il y a lieu de le faire.

En l’absence de lois fédérales sur le signalement obligatoire en cas d’atteinte, le Commissariat a élaboré, en collaboration avec des groupes de défense des consommateurs et des groupes d’entreprises, une série de lignes directrices facultatives. 

Les lignes directrices décrivent les principales mesures à prendre en cas de fuites de données, comme contenir l’atteinte, évaluer les risques connexes, informer les personnes touchées et prévenir les fuites futures.

Nous avons aussi conçu d’autres outils pour aider les organisations à réagir en cas d’atteinte à la sécurité des données, y compris un formulaire de signalement accessible en ligne.

L’an dernier, nous avons désigné un « agent à la notification » au sein du Commissariat, afin de nous assurer que tous les rapports concernant des atteintes à la sécurité des données se rendent au même endroit et sont traités de manière uniforme.

Afin de mieux comprendre les causes et les conséquences des atteintes à la sécurité des données, le Commissariat a analysé 136 cas d’atteintes qui nous ont été volontairement signalées entre 2006 et 2008.

Nous avons constaté que le nombre d’atteintes signalées est passé de 23 en 2006 à 48 en 2007, et s’élevait à 65 l’an dernier.

Cela ne signifie pas qu’il y ait davantage d’atteintes aujourd’hui, mais simplement que davantage des cas nous sont signalés depuis que nous avons publié les lignes directrices sur le signalement en cas d’atteinte à la sécurité des données en 2007.

Nos données révèlent que l’industrie bancaire représente la part du lion pour ce qui est des signalements d’atteintes à la sécurité des données au Commissariat, qui sont trois fois plus nombreux que pour le groupe qui le suit en importance, soit les courtiers en hypothèque.

Ce résultat s’explique par le fait que les banques ont adopté des politiques sur le signalement au Commissariat, contrairement aux autres secteurs. Les banques détiennent aussi plus de renseignements personnels sur leurs clients et procèdent à infiniment plus de transactions que n’importe quel autre secteur.

Dans notre analyse, nous avons classé les atteintes selon quatre « catégories ».

L’accès, l’utilisation ou la communication non autorisés, forcément le fruit d’une intention ou d’un geste délibéré, représentaient le type d’atteintes le plus fréquent au cours de la période visée par l’étude, comptant pour 36 % de tous les incidents signalés au Commissariat. C’est la catégorie des atteintes causées par l’accès non autorisé.

La catégorie des atteintes accidentelles, qui comptaient pour un peu plus de 30 % des signalements reçus, comportait les erreurs d’envoi postal, le retrait inadéquat des renseignements personnels et les courriels et télécopies envoyés par erreur.  

Le vol de renseignements personnels constituait la troisième catégorie d’atteintes la plus fréquente, comptant pour près du quart des incidents signalés au Commissariat. Des portables et de l’équipement informatique étaient dérobés dans environ la moitié des cas, et des documents papier saisis dans l’autre. Cette catégorie ne s’analyse pas facilement puisque, dans certains cas, le vol visait l’équipement informatique et non les données que celui-ci contenait. Les organisations ne sont pas toujours en mesure de déterminer l’objet du vol.

Enfin, la quatrième catégorie regroupait les cas de perte de renseignements personnels consignés sur support papier, numérique ou audio, que l’information ait été diffusée ou non. De telles pertes comptaient pour un dixième des incidents signalés au Commissariat. L’incident de la CIBC–Talvest entrerait dans cette catégorie.

Nous nous sommes aussi penchés sur les responsables des cas d’accès, d’utilisation ou de communication non autorisés et sur leurs motifs.

Nous avons constaté que le personnel des organisations était à blâmer dans les deux tiers des incidents, et les employés de tiers fournisseurs de services, dans 10 % des cas restants. Autrement dit, des employés peu scrupuleux étaient responsables de près de 80 % des cas d’accès, d’utilisation ou de communication non autorisés signalés au Commissariat au cours de cette période.

Fait inquiétant, la fraude constituait le motif dans neuf cas sur dix.

Nous avons aussi examiné de plus près la catégorie des « atteintes accidentelles », et nous avons constaté que dans la grande majorité des cas, il s’agissait tout bonnement d’erreurs humaines.

Il n’y a là rien de surprenant; après tout, l’erreur est humaine. Il est toutefois plus étonnant d’apprendre que la technologie déjoue moins de gens qu’on pense.

En fait, la faute non technique la plus courante que nous ayons relevée était la simple erreur d’envoi de courrier, de télécopie et de courriel.

Nous avons observé que pour l’ensemble des incidents, de multiples facteurs entraient souvent en jeu. Permettez-moi de mentionner les principaux.

L’un des problèmes les plus fréquents avait trait à une sécurité informatique inadéquate, un facteur observable dans tous les cas d’utilisation ou de communication non autorisées de renseignements personnels, ou d’accès indu à ceux-ci.

La technologie évolue constamment; les organisations doivent donc s’assurer que leurs systèmes de sécurité continuent de répondre aux besoins en matière de protection des renseignements personnels.

Les lacunes au chapitre de la sécurité matérielle des lieux où les renseignements personnels sont conservés constituaient aussi un facteur, notamment dans le cas de vol ou de perte.

Le troisième principal facteur relevé était le manque de sensibilisation et de formation des employés, qui a de toute évidence joué un rôle dans les erreurs d’envoi de courrier, de courriel et de télécopie mentionnés plus tôt. Un sondage commandé par le Commissariat en 2007 a révélé que seul le tiers des entreprises avaient formé leur personnel sur leurs pratiques et leurs responsabilités en vertu des lois sur la protection des renseignements personnels du Canada. 

Cette étude ne brosse le tableau que d’une période précise. Elle ne révèle pas combien d’atteintes se sont produites puisque le signalement au Commissariat n’est pas obligatoire. De plus, les lignes directrices facultatives sur le signalement en cas d’atteinte n’étaient pas encore publiées pendant une partie de la période visée par l’étude. 

Bref, l’étude n’a peut-être pas grande valeur probante, mais elle nous montre tout de même les types de facteurs qui contribuent aux fuites de données, et je crois que nous pouvons en tirer des conclusions intéressantes et des leçons importantes.

Tout d’abord, comme l’inconduite du personnel et des tiers fournisseurs de services joue un rôle dans de nombreux cas, les organisations devraient s’assurer que leurs politiques en matière de vie privée et de sécurité sont efficaces et rigoureusement appliquées.

Ensuite, il est essentiel que les organisations comblent les lacunes possibles en matière de sécurité, en ce qui a trait tant aux lieux et aux installations physiques qu’aux systèmes électroniques.

Enfin, la formation et la sensibilisation permanentes des employés sont primordiales, à la lumière des nombreux cas où l’erreur humaine a donné lieu à des fuites de données. Il faut aussi garder à l’esprit que dans la plupart des cas, les technologies utilisées étaient remarquablement simples.

Je tiens à souligner qu’en cette période de ralentissement économique, les entreprises qui cherchent à réduire leurs coûts doivent résister à l’envie de sabrer dans les dépenses relatives à la sécurité et à la protection des renseignements personnels.

À une époque où les criminels sont susceptibles de chercher à tirer profit des faiblesses décelées, les mesures de réduction de coûts des entreprises pourraient s’avérer improductives. Des études ont démontré qu’il est beaucoup moins coûteux de mettre en place de bonnes mesures de sécurité dès le départ que de réparer les dommages causés par une atteinte à la sécurité des données.

Nous sommes toutefois rassurés par le fait que de nombreuses entreprises nous ont fait part de leur engagement à l’égard de la protection des renseignements personnels, qu’elles perçoivent comme un avantage concurrentiel.

Lorsque le Commissariat est informé d’une atteinte à la sécurité des données, que ce soit par l’entreprise elle-même ou par une tierce partie, il ouvre un dossier sur l’« incident ».

Un enquêteur veille ensuite au suivi de l’incident; il s’agit d’un processus moins approfondi qu’une enquête. En fait, l’enquêteur cherchera à connaître les détails de l’incident et les mesures prises pour régler le problème et pour empêcher que la situation se reproduise et à savoir si l’entreprise a avisé les personnes concernées ou envisagé de le faire.

Nous pouvons faire des suggestions à l’organisation. Le Commissariat possède beaucoup d’expertise dans ce domaine.

Nous ne formulons pas de conclusions, mais vous recevrez une lettre du Commissariat au moment de la fermeture du dossier.

Le signalement ne constitue pas une carte blanche!

Parfois, des dossiers d’incident se transforment en dossiers d’enquête.

Cette situation peut survenir lorsque le Commissariat à la protection de la vie privée reçoit une plainte d’un particulier concernant une atteinte à la sécurité des données.

À l’occasion, la commissaire peut elle-même prendre l’initiative d’une plainte. Cela ne se produit que dans des circonstances exceptionnelles, notamment lorsqu’il s’agit d’une atteinte très grave ou d’une atteinte généralisée, ou lorsque l’organisation ne semble pas intervenir de manière adéquate.

Nous avons récemment entrepris trois vérifications relativement à une pratique généralisée qui semble impliquer des activités criminelles à l’échelle d’un secteur d’une industrie.

Je tiens aussi à souligner qu’en l’absence d’un régime de signalement obligatoire, le Commissariat est susceptible d’avoir une perception positive des organisations qui signalent volontairement les atteintes à la sécurité des données.

Celles qui ne communiquent pas avec nous le font sans doute par crainte de la mauvaise publicité ou des mesures d’application que pourrait prendre le Commissariat.

Les organisations hésitent peut-être aussi à signaler les atteintes de peur que les renseignements qu’elles fournissent soient dévoilés en vertu de la Loi sur l’accès à l’information.

 Ces craintes se révèlent souvent exagérées. Voici comment le Commissariat procède :

L’accès à toute information au dossier est refusé jusqu’à ce que l’examen de l’incident soit terminé et tous les recours possibles épuisés.

Une fois l’examen de l’incident terminé, la Loi sur l’accès à l’information nous oblige à envisager de rendre publics certains renseignements, mais seulement les documents rédigés par le Commissariat au cours de l’enquête, comme des notes de service, des rapports et des notes au dossier.

Les renseignements fournis par l’organisation mise en cause au cours de l’enquête ou de la vérification sont soustraits à la communication aux termes du paragraphe 16.1 de la Loi sur l’accès à l’information, même après que l’enquête a pris fin. Ce scénario diffère de celui d’une enquête exhaustive, où une lettre de constatation est émise.  

Dans le même ordre d’idées, si l’incident présente beaucoup d’intérêt pour le public et a déjà fait l’objet de l’attention des médias, le Commissariat pourrait, à la fin de l’enquête, divulguer des renseignements contenus dans les rapports qu’il a créé. Cependant, la Loi sur l’accès à l’information nous permet de soustraire certaines portions de l’information à la communication, comme les comptes rendus de consultations et de délibérations, de même que les renseignements personnels et les renseignements concernant l’entreprise.

Lorsque j’envisage l’avenir, je reste persuadée que le Parlement agira bientôt sur la question d’un régime de signalement obligatoire en cas d’atteinte à la sécurité des données. En tout cas, des députés de tous les partis politiques y ont clairement manifesté leur appui au cours de l’examen en comité de la LPRPDE.

Bien qu’un régime ne suffise pas à éliminer les atteintes à la sécurité des données, il contribuera sans doute à accroître la responsabilité et l’engagement des organisations à l’égard de la protection des renseignements personnels qui leur sont confiés.

Entre-temps, le Commissariat se prépare à gérer une augmentation prévue du nombre de cas d’atteintes et d’examens d’incident. Nous avons déjà pris une série de mesures, y  compris l’émission de directives, l’embauche d’enquêteurs supplémentaires et la réingénierie de nos méthodes d’enquête.

Nous avons aussi commandé des travaux de recherche qui devraient nous éclairer sur ce qui nous attend.

Entre autres choses, ces travaux de recherche, dont nous espérons obtenir les résultats au cours des prochains mois, devraient nous donner un aperçu du type et du volume d’incidents qui pourraient nous être rapportés dans le contexte d’un régime de signalement obligatoire en cas d’atteinte à la sécurité des données.

Nous nous entretiendrons avec des groupes d’industries pour examiner leur rôle dans la gestion des enjeux entourant les fuites de données — de la prévention au signalement, en passant pas l’atténuation des risques.

Nous examinons aussi comment le Commissariat peut contribuer à cette évolution, qu’il s’agisse de sensibiliser davantage le public ou de contribuer à l’élaboration de politiques publiques au moyen de la collecte de données ou de l’analyse des tendances.

Nous sommes bien conscients des défis qui attendent les responsables de la réglementation chargés de la mise en œuvre du régime.

Nous nous réjouissons à l’idée de poursuivre le dialogue et nous vous invitons à nous faire part de vos réflexions sur la question ou sur tout autre sujet qui vous préoccupe.  

Entre-temps, je vous remets un document du Commissariat qui contient de l’information sur les atteintes à la protection des renseignements personnels. Nos portes restent grandes ouvertes!

Accessible sur le site www.priv.gc.ca :

Agent à la notification des atteintes :

  • Par courriel : notification@privcom.gc.ca
  • Par téléphone : 613-947-1698 ou sans frais : 1-800-282-1376
  • Par courrier : 112, rue Kent, 3e étage, Ottawa (Ontario)  K1A 1H3