Discours

Le facteur « oups » : comment gérer l'avant, le pendant et l'après d'une atteinte à la protection des renseignements personnels

Commentaires à l’occasion de la Journée de la protection de la vie privée de Santé Canada

Le 4 novembre 2010
Ottawa (Ontario)

Allocution prononcée par Patricia Kosseim
Avocate générale, Commissariat à la protection de la vie privée du Canada

(La version prononcée fait foi)

Je tiens à féliciter les organisateurs de Santé Canada d’avoir  mis sur pied cette Journée de la protection de la vie privée.  C’est de toute évidence un grand succès, à voir le nombre de participants que vous avez réussi à attirer ce matin.  Effectivement, c’est un sujet très opportun étant donné la nature des enjeux que nous avons à discuter. 

J’aimerais remercier ma collègue Melanie Millar-Chapman, qui est ici aujourd’hui, d’avoir eu la gentillesse de commenter sur une version antérieur de cette présentation.

Le thème qu’on m’avait demandé d’aborder était « Le paysage idéal en matière de protection de la vie privée pour une institution fédérale ».  

J’aurais sûrement pu présenter une très belle photo d’un coucher de soleil ou une photo saisissante d’une gorge profonde et caverneuse.  

J’aurais pu aussi vous montrer le dur labeur d’un fermier travaillant dans son champ ou bien une image stylisée de l’idéal d’un peintre, qui peut bien paraître sur la toile, mais qui a peu de liens avec la réalité. J’aurais également pu vous montrer un montage de paysages représentant précisément ce que je veux vous dire, c'est-à-dire que le paysage de la protection de la vie privée peut être très varié.  

J’ai plutôt choisi un titre légèrement différent, plus accrocheur et plus à propos, particulièrement à la lumière de récents reportages dans les médias : « Le facteur Oups : comment gérer l’avant, le pendant et l’après d’une atteinte à la protection des renseignements personnels. »

Pendant ma présentation aujourd’hui, je tenterai d’aborder les aspects suivants : 

D’abord, en guise de toile de fond, je décrirai où nos mondes respectifs se croisent, c’est-à-dire les aspects du secteur fédéral de la santé qui sont susceptibles de nécessiter les services du Commissariat.

Ensuite, je parlerai de ce que les institutions fédérales peuvent faire avant, pendant et après une atteinte à la protection des renseignements personnels afin de gérer les risques associés aux atteintes potentielles.

Enfin, pour ne pas esquiver complètement la question, je terminerai par quelques commentaires sur ce que sont, à mon avis, certaines des caractéristiques d’un contexte idéal en matière de protection de la vie privée pour une institution fédérale.

Le mandat de Santé Canada englobe divers aspects, tout comme celui des autres ministères et organismes ayant des responsabilités liées à la santé qui communiquent avec le Commissariat pour plusieurs raisons. En voici des exemples : 

  • Les utilisateurs des services de santé fédéraux peuvent déposer des plaintes au Commissariat concernant la protection de la vie privée. Vous avez sans doute entendu parler de notre récente enquête concernant la plainte d’un ancien combattant contre Anciens Combattants Canada qui a révélé que des renseignements de nature très délicate le concernant avaient été largement utilisés et communiqués de façon nettement plus importante qu’il n’était nécessaire ou approprié de le faire.   
  • Peut‑être que certains d'entre vous se souviendront d’une conclusion émise il y a quelques années concernant plusieurs centaines de plaintes que nous avions reçues relativement à la décision de demander aux bénéficiaires des Premières nations et Inuits de certaines prestations de santé subventionnées par le gouvernement qu’ils signent un formulaire de consentement complexe, avalisant essentiellement les pratiques de gestion des renseignements personnels du Ministère ayant pour but de faire le suivi de l’usage de médicaments délivrés sur ordonnance.  
  • De plus, comme bon nombre d’entre vous le savent, nous recevons régulièrement des plaintes concernant la collecte, l’utilisation ou la communication de renseignements personnels d’employés soumis à un test d’aptitude au travail par Santé Canada à des fins de demande d’indemnisation ou de travail et d’embauche.
  • Nous effectuons des vérifications auprès d’institutions fédérales, y compris Santé Canada. En fait, Santé Canada était l’une des entités soumises à une vérification dans le cadre de notre « vérification de l’utilisation des technologies sans fil » publiée récemment.     
  • En vertu de la directive du Conseil du Trésor, les ministères et organismes fédéraux doivent soumettre des évaluations des facteurs relatifs à la vie privée au Commissariat pour tous les nouveaux programmes ou tous les programmes et toutes les activités modifiés de façon importante qui comportent la collecte, l’utilisation ou la communication de renseignements personnels. Par exemple, Statistique Canada a remis au Commissariat une EFVP à des fins d’examen et de commentaires portant sur l’Enquête canadienne sur les mesures de la santé.
  • Le Commissariat travaille en collaboration avec le Partenariat fédéral pour les soins de santé en participant à l’élaboration de politiques sur la protection de la vie privée liées, par exemple, à la mise en œuvre de dossiers médicaux électroniques et à un protocole relatif aux atteintes à la protection des renseignements personnels actuellement en cours de rédaction.   
  • L’année dernière, le Commissariat a émis des lignes directrices à l’intention des employeurs, y compris le secteur public fédéral, sur la façon de gérer l’échange d’information en période de pandémie (comme la pandémie de grippe H1N1) dans des situations urgentes et non urgentes.
  • Le Commissariat est régulièrement appelé à témoigner devant des comités parlementaires concernant les répercussions sur la protection de la vie privée de divers projets de loi, y compris les projets de loi visant à instaurer ou à modifier des lois sur l’examen et l’approbation d’essais cliniques,  la sécurité des produits de consommation ou la réglementation des agents pathogènes et des toxines.
  • Il est possible que nous nous retrouvions devant la Cour fédérale avec Santé Canada, puisque nous avons notamment pris part à l’affaire Gordon, par exemple, un litige dans lequel nous avons appuyé la position du Ministère consistant à refuser la demande d’un journaliste qui désirait accéder au champ de données de la province du système canadien d’information sur les effets indésirables des médicaments (CADRIS). La Cour a déclaré que le champ « province », combiné à tous les autres champs de données déjà à la disposition du public, entraînerait une sérieuse possibilité que des personnes soient précisément identifiées et ne devrait donc pas être divulgué du fait qu’il constitue une information personnelle.
  • Finalement, par l’intermédiaire de notre programme des contributions, nous avons financé plusieurs projets de recherche portant sur des questions de protection de la vie privée liées à la santé, notamment : l’utilisation secondaire des dossiers de santé électroniques, les technologies de l'information sur la santé, la mise en banque de matériel biologique, la dépersonnalisation des données sur la santé, les tests génétiques offerts directement aux consommateurs, etc.

Dans le cadre de ces diverses réunions au cours desquelles le Commissariat rencontre le secteur fédéral de la santé, vous entendrez un même message de la commissaire et de ses représentants : la protection de la vie privée doit être intégrée aux initiatives et aux programmes dès la conception et tout au long de leur élaboration, et bien avant leur mise en œuvre.

Cette semaine en Israël, la commissaire à la protection de la vie privée et ses collègues du monde entier ont adopté une résolution internationale — parrainée par la commissaire à l'information et à la protection de la vie privée de l’Ontario, Ann Cavoukian, qui reconnaît la notion de « protection de la vie privée dès la conception ». Il s’agit d’un élément essentiel de la protection de la vie privée fondé sur les principes fondamentaux suivants :    

  • être proactif et non réactif; prévenir plutôt que guérir;
  • faire de la protection de la vie privée un élément par défaut;
  • prévoir la protection de la vie privée à l’étape de la conception du système ou de la technologie;
  • s’efforcer de faire de la fonctionnalité du produit et de la protection de la vie privée une situation positive sur toute la ligne et non une situation où tout le monde y perd; 
  • assurer la protection de la vie privée d’un bout à l’autre du cycle de vie de l’information;
  • assurer la visibilité et la transparence des systèmes et des technologies en cours de planification et de mise en œuvre;
  • assurer le respect de la vie privée de l’utilisateur.

Essentiellement, la Directive sur l'évaluation des facteurs relatifs à la vie privée du Conseil du Trésor et l’intégration des exigences en matière de sécurité et de protection de la vie privée au cadre de responsabilisation de gestion, dont les hauts fonctionnaires sont en définitive tenus responsables, sont une manifestation explicite de la notion de protection de la vie privée dès la conception. Seulement cette année, le Commissariat a reçu 60 % plus d’EFVP que l’année dernière! Afin de mettre à profit cet outil — non seulement sur le plan de la quantité, mais aussi de la qualité — le Commissariat a récemment organisé un atelier auquel ont participé des représentants provenant de 40 institutions fédérales afin d’entamer un dialogue sur le contenu et le format des EFVP soumises au Commissariat à des fins d’examen. Le Commissariat publiera bientôt un document sur nos attentes rédigé à la suite de cet atelier et visant à aider les institutions à améliorer la fiabilité des EFVP à l’avenir et à faire intervenir le Commissariat le plus tôt possible dans le processus. 

Pour citer un vieil adage que vous connaissez tous, « mieux vaut prévenir que guérir ». Je pourrais sans doute vous faire part d’une multitude de bons et de mauvais exemples à ce sujet. Mais pour bien illustrer cet adage, je vais vous citer deux exemples récents.

Plus d’un an avant les Jeux olympiques de Vancouver, les organisateurs communiquaient régulièrement avec le Commissariat, le Commissariat à l'information et à la protection de la vie privée de la C.‑B. et la GRC pour discuter de la planification des systèmes qui permettraient d’éviter efficacement les menaces à la sécurité, mais également pour s’assurer de respecter le droit à la vie privée des spectateurs, des athlètes, des employés, des bénévoles et des résidents locaux. Dans son récent rapport annuel, la commissaire a mentionné qu’elle est sortie de cette expérience convaincue « que les Jeux olympiques de Vancouver ont donné une précieuse leçon en matière d’équilibre entre la sécurité et le droit à la vie privée lors d’événements de grande envergure ».

À titre de comparaison, avant de mettre en circulation ses voitures Street View dans le monde entier pour recueillir des images des routes et des points d’accès de données sans fil afin d’améliorer ses services de géolocalisation, Google n’avait pas discuté des répercussions sur la vie privée liées à la possibilité de recueillir par le fait même des données utiles (notamment le contenu des communications effectuées sur les réseaux sans fil non chiffrés). Comme l’a révélé notre enquête, l’ingénieur qui avait intégré le code dans le logiciel pour permettre cette collecte de données avait seulement décelé des problèmes superficiels en matière de protection de la vie privée qu’il n’a pas cru bon de communiquer au conseiller juridique en matière de produits de Google, ce qui est contraire à la procédure de l’entreprise, et auxquels on n’a finalement jamais donné suite. Les sommations à comparaître devant le comité parlementaire cette semaine, la frénésie entourant la récente couverture médiatique de cette affaire, et la multitude de recours collectifs intentés récemment contre l’entreprise aux États-Unis, mettant en jeu des millions de dollars en réparation, démontrent maintenant douloureusement que ces problèmes liés à protection de la vie privée étaient plus que des problèmes superficiels.

Ces exemples illustrent à quel point il est important de suivre les étapes nécessaires avant de mettre en œuvre un système ou une technologie d’information afin d’éviter les risques potentiels de préjudice contre des personnes. D’une certaine manière, pour emprunter un autre concept qui vous est familier, il s’agit de la même chose que d’appliquer le principe de précaution aux nouvelles technologies de l’information. Tout comme dans les secteurs de la santé et de l’environnement, le principe de précaution nous amènerait à prendre les mesures nécessaires immédiates pour protéger les personnes du risque de préjudice découlant de l’utilisation et de l’adoption à grande échelle des avancées technologiques, y compris les technologies de l’information, même en l’absence de preuve scientifique établissant une relation de cause à effet.  

Toutefois, la mise en place de mesures de protection de la vie privée en amont ne se fait pas du jour au lendemain. Il faut déployer des efforts continus pour former les employés et veiller au respect des politiques et des procédures afin de s’assurer que la vie privée est respectée tout au long du cycle de vie de l’information.

Pour en revenir à l’enquête sur Anciens Combattants Canada, la commissaire a découvert que le Ministère avait communiqué de façon inappropriée de l’information personnelle sur la santé du plaignant à de nombreux secteurs, y compris celui des politiques sur les programmes, des communications et des relations avec les médias. De l’information médicale de nature très délicate s’était même retrouvée dans des notes d’information destinées au ministre en vue d’une conférence de presse à laquelle le plaignant, un défenseur des anciens combattants, devait prendre part.  

On a également découvert que le Ministère avait divulgué une grande partie de l’information médicale du plaignant à un hôpital qu’il administre, et ce, sans son consentement. La quantité et la nature délicate des renseignements personnels, ainsi que la mesure dans laquelle ils ont été communiqués, avaient outrepassé de loin ce qui aurait été nécessaire pour l’objectif énoncé par le Ministère. Le plus préoccupant dans cette affaire pour la commissaire, c’était le manque apparent de mesures de contrôle au sein du Ministère pour protéger les renseignements personnels et empêcher qu’une telle situation ne se produise. Lorsque je parle de cette affaire, je suis consciente que certains employés d’Anciens Combattants Canada se sentent « mis dans le même panier », comme on le disait dans un article de journal ce matin. J’ai décidé d’en parler quand même, non pas pour porter des accusations, mais pour que nous puissions tous en tirer des leçons concrètes.

Deux vérifications menées récemment par le Commissariat démontrent encore une fois l’importance d’assurer la protection de la vie privée tout au long du cycle de vie des renseignements personnels.

Une vérification récente de l’usage de la technologie sans fil (la « vérification de l’utilisation des technologies sans fil ») menée dans cinq grandes institutions fédérales (y compris Santé Canada) a révélé qu’aucune d’entre elles n’avait évalué entièrement les menaces et les risques inhérents aux communications sans fil. Les lacunes en matière de politiques et les directives limitées concernant la protection de la vie privée, constatées dans certaines ou dans l’ensemble des entités soumises à la vérification, sont à l’origine des faibles niveaux de responsabilité de l’utilisateur et du peu de sensibilisation à l’égard de la protection de la vie privée. D’autres lacunes ont été constatées dans certaines ou dans l’ensemble des entités soumises à la vérification : la protection insuffisante des téléphones intelligents par mot de passe, le cryptage inadéquat des réseaux sans fil et des données mises en mémoire sur les appareils mobiles, l’élimination des appareils portatifs excédentaires et l’utilisation de la messagerie NIP à NIP.

Une autre vérification récente des pratiques de retrait des renseignements personnels (la « vérification relative au retrait ») dans les institutions fédérales a révélé que, bien qu’il existe des politiques et des procédures relatives au déchiquetage des dossiers du gouvernement fédéral et à l’élimination du matériel informatique excédentaire, dans la pratique, il y a encore d’importantes lacunes. Par exemple, les entrepreneurs en déchiquetage avec qui fait affaire Bibliothèque et Archives Canada ont, à un moment ou un autre, omis de s’acquitter de certaines de leurs obligations en matière de sécurité. De plus, dans un échantillon de plus de 1 000 ordinateurs soumis à l’étude, les vérificateurs ont découvert que les données de 42 % de ces ordinateurs n’avaient pas été entièrement effacées avant que ces ordinateurs ne soient donnés à un programme de recyclage d’ordinateurs destiné aux écoles. Certaines des données se trouvant sur ces disques durs étaient confidentielles, de nature très délicate et, dans certains cas, classifiées.

Tous les responsables de données veulent évidemment savoir comment gérer le terrible « après », c’est‑à‑dire lorsque des atteintes à la protection des renseignements personnels se produisent. De multiples exemples d’atteintes à la protection des données médicales dans plusieurs provinces démontrent à quel point le risque est réel : des ordinateurs portatifs non chiffrés et des clés USB volées ou disparues; des maliciels viraux affectant les systèmes informatiques de régions sanitaires entières; des dossiers papier se retrouvant dans les rues du centre-ville ou tombant des camions de récupération; des fournisseurs de soins de santé ou des employés d’hôpitaux trop curieux qui accèdent aux dossiers médicaux électroniques des patients, et ce, sans autorisation et à des fins strictement personnelles.

Afin d’aider les organismes et les institutions à composer avec les répercussions des atteintes à la protection des renseignements, plusieurs commissariats à la protection de la vie privée, y compris le nôtre, ont émis des lignes directrices relatives aux avis d’incident. En gros, les étapes clés à suivre sont les suivantes :

La première étape consiste à limiter immédiatement l’atteinte et à atténuer le préjudice potentiel. Pour ce faire, il est possible qu’il faille arrêter les systèmes jusqu’à ce qu’une enquête puisse être menée ou interdire l’accès aux personnes soupçonnées d’être à l’origine de l’incident.

La deuxième étape consiste à évaluer les risques associés à l’atteinte à la protection des renseignements personnels, y compris la cause et l’envergure de l’incident, le type de renseignements personnels en cause, le nombre de personnes touchées et les préjudices potentiels à prévoir. À cette étape, il est essentiel d’avoir des pistes de vérification et d’identifier les fichiers.

La troisième étape consiste à déterminer s’il est nécessaire d’aviser les personnes concernées. Dans de nombreux cas, il s’agit de l’étape la plus difficile à franchir. Cette décision dépendra en grande partie du degré du risque ou du préjudice cerné et de la possibilité pour les personnes, si elles sont avisées, d’atténuer ce préjudice. Il est tout aussi important d’envisager le préjudice potentiel lié au processus d’avis en tant que tel, qui peut nécessiter l’utilisation de méthodes personnalisées et délicates afin d’éviter de causer du stress et de l’anxiété indus chez les personnes touchées.

Finalement, la dernière étape à suivre advenant une atteinte consiste à prendre les mesures nécessaires pour empêcher que de telles  atteintes ne se produisent à nouveau. Lorsque le problème semble être résolu sur le plan technique, les gens ont tendance à sous-estimer l’importance de cette étape. Pourtant, elle permet aux institutions de boucler la boucle, elle vous permet de revenir au début du cycle de vie des renseignements personnels, et elle vous offre la possibilité, une fois de plus, de suivre les étapes de précaution nécessaires pour éviter d’autres risques liés à la protection avant la remise en œuvre du produit ou service en question.

Tout au long de ce processus, il est important de prendre en considération le point suivant : est-il nécessaire de signaler l’atteinte au Commissariat à la protection de la vie privée et, le cas échéant, quand faut-il le faire. En règle générale, même s’il ne veut pas être submergé de renseignements peu importants, le Commissariat considère qu’en cas de doute, il vaut mieux nous informer. Cette approche par défaut comporte plusieurs avantages :

  1. Les enquêteurs du Commissariat peuvent mettre à profit leur expertise en aidant les ministères et les organismes à suivre les diverses étapes du processus d’avis;
  2. Au besoin, nous pourrions répondre aux questions des médias de façon plus rassurante en confirmant que nous avons été dûment informés et que nous travaillons activement avec l’institution en question pour contenir et minimiser les préjudices potentiels;
  3. Si des plaintes sont déposées, nous avons déjà une bonne idée de ce qui s’est produit et des étapes entreprises pour rectifier la situation;
  4. Au fil du temps, nous pourrions avoir un meilleur aperçu des types et du nombre d’atteintes à la protection des renseignements personnels, ce qui nous aiderait à cibler les tendances ou les secteurs comportant un risque accru et à orienter les institutions en conséquence.

Le signalement des atteintes à la commissaire ne devrait pas être perçu comme une mauvaise note dans un bulletin. Au contraire, il faut du leadership et du courage pour assumer la responsabilité d’une atteinte à la protection des renseignements personnels et intervenir rapidement et efficacement pour contenir le préjudice potentiel et remédier à la situation. Il ne fait aucun doute que la commissaire à la protection de la vie privée reconnaît le défi que cela représente et qu’elle est prête à vous aider de façon constructive.

Pour conclure, laissez-moi tenter de répondre à la question qui m’a été présentée au départ. Quel est le paysage idéal en matière de protection de la vie privée pour une institution fédérale?  

D’abord, pour toutes les raisons mentionnées ce matin, le contexte idéal requiert un système efficace de gouvernance et une gestion appropriée des risques tout au long du cycle de vie des renseignements personnels. Deuxièmement, tous les employés au service de l’intérêt public doivent assumer leurs responsabilités sérieusement, y compris la prise en charge prudente des renseignements personnels susceptibles d’être soustraits au principe fondamental du consentement dans le cadre d’ententes sur l’échange de renseignements au sein des ministères ou entre ces derniers. Troisièmement, tout le monde doit demeurer conscient en tout temps que derrière ces programmes gouvernementaux monstres à gérer et à administrer se trouvent des gens ayant des vies personnelles, comme la vôtre et la mienne, qui méritent d’être respectées. Et finalement, le succès de toute institution fédérale dépend essentiellement des efforts déployés de façon continue pour gagner et maintenir la confiance du public à l’égard de l’importance de ses objectifs, de la raison pour laquelle ils sont nécessaires et de la façon dont ils sont réalisés.  

Abraham Lincoln a déjà dit que si vous trahissez une fois la confiance de vos concitoyens, vous ne pourrez jamais regagner leur respect et leur estime.