Comparution devant le Comité sénatorial permanent des banques et du commerce dans le cadre de l’étude sur les questions et préoccupations relatives à la cybersécurité et à la cyberfraude

Le 2 novembre 2017
Ottawa (Ontario)

Déclaration préliminaire de Daniel Therrien,
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Les Canadiens sont préoccupés par la sécurité de leurs renseignements personnels. Selon notre plus récent sondage d’opinion publique publié en janvier, 92 % d’entre eux ont exprimé leur inquiétude au sujet de la protection de leur vie privée. De ce nombre, une nette majorité (57 %) se sont dits très préoccupés par cette questionNote de bas de page 1.

Comme la quantité de renseignements personnels traités en ligne augmente constamment, la protection de la vie privée repose de plus en plus sur la mise en œuvre de mesures de cybersécurité efficaces par les organisations pour protéger les données personnelles.

Champ d’application et objet de la LPRPDE

Le secteur privé entre autres a une responsabilité importante en ce qui concerne la cybersécurité car il contrôle une très large part de l’infrastructure et de l’information dans le cyberespaceNote de bas de page 2.

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), loi sur la protection des renseignements personnels dans le secteur privé au Canada, établit les règles de base qui régissent la collecte, l’utilisation, la communication et la protection des renseignements personnels par les organisations du secteur privé dans le cadre d’activités commerciales au Canada. Elle s’applique également aux renseignements personnels d’employés d’organisations sous réglementation fédérale, comme les banques, les transporteurs aériens et les sociétés de télécommunications.

Le Commissariat veille aussi au respect de certains aspects de la Loi canadienne anti-pourriel, de concert avec le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et le Bureau de la concurrence.  

Les cyberattaques peuvent frapper des organisations de toutes les tailles et donner lieu à de graves atteintes à la vie privée. Dans le cas des grandes organisations, les vastes banques de données sur leurs clients peuvent présenter un grand intérêt pour les criminels. Mais dans l’économie numérique actuelle, les petites organisations et même les micro-organisations peuvent elles aussi détenir de vastes quantités de renseignements personnels. Il se peut aussi qu’elles soient particulièrement vulnérables car elles peuvent être ciblées par des criminels qui s’attaqueront par la suite à des organisations plus grandes ou à des organisations partenaires. Nous savons qu’elles pourraient avoir particulièrement besoin d’aide, de ressources et de surveillance supplémentaires.

Dispositions pertinentes de la LPRPDE

En vertu de la LPRPDE, toutes les organisations sont responsables de la protection des renseignements personnels dont elles ont la gestion. Elles doivent notamment déterminer les risques et mettre en œuvre les mesures de sécurité appropriées pour protéger les données qu’elles recueillent.

Le Commissariat reçoit un grand nombre de déclarations d’atteintes à la sécurité des données déposées en vertu de la LPRPDE. Leur nombre a doublé depuis l’adoption de la Loi sur la protection des renseignements personnels numériques en 2015. Il est demeuré élevé au cours des deux dernières années. Nous nous attendons à ce qu’il grimpe de façon significative lorsque la déclaration des atteintes à la vie privée deviendra obligatoire. 

La capacité du Commissariat à surveiller les atteintes à la vie privée est déjà sollicitée au maximum et cette augmentation exercera encore plus de pression. À l’heure actuelle, notre capacité se limite à examiner uniquement les atteintes les plus importantes et les plus complexes qui sont portées à notre attention, par exemple celles subies par Equifax, l’Agence mondiale antidopage, Ashley Madison, ainsi que le système de paye Phénix.

Le règlement sur la déclaration obligatoire des atteintes à la vie privée dans le secteur privé n’a pas une portée aussi vaste que nous l’aurions espéré, mais il constituera un outil important pour améliorer les pratiques de sécurité des organisations en leur imposant à toutes les mêmes obligations. Cela dit, nous avons fait quelques recommandations au gouvernement sur des aspects où l’ébauche de règlement nous semble présenter des lacunes, par exemple :

  • s’assurer que les déclarations des atteintes fournissent les renseignements nécessaires pour permettre d’évaluer la qualité des mesures de protection et d’évaluer le risque de préjudice pour les individus;
  • clarifier les exigences en matière de tenue de dossiers imposées aux organisations. 

Cette information est essentielle : elle fournit les données de base qui permettent de dégager des tendances et de régler les questions systémiques, permettant ainsi d’assurer une surveillance efficace.  

La Loi sur la protection des renseignements personnels numériques a aussi donné lieu à plusieurs modifications importantes à la LPRPDE – plus particulièrement avec l’entrée en vigueur de la déclaration obligatoire des atteintes à la sécurité des données. Elle comprenait aussi plusieurs modifications autorisant la communication de renseignements personnels dans certaines situations où l’objectif est de combattre et de prévenir la fraude et l’exploitation financièreNote de bas de page 3.

Loi sur la protection des renseignements personnels et déclaration obligatoire des atteintes à la vie privée

Contrairement à la LPRPDE, la Loi sur la protection des renseignements personnels n’oblige pas les institutions fédérales à protéger les renseignements personnels dont elles ont la gestion. Les organisations sont tenues de déclarer toute atteinte substantielle au Commissariat en vertu de la politique du Conseil du Trésor, mais nous avons constaté des différences considérables entre les pratiques de déclaration des institutions. Par exemple, l’an dernier, le nombre d’atteintes déclarées au Commissariat a diminué de 50 %. Nous nous tournons actuellement vers les institutions pour déterminer les causes de cette diminution.

Nous avons aussi recommandé au Parlement de modifier la Loi sur la protection des renseignements personnels afin qu’elle oblige explicitement les institutions fédérales à déclarer au Commissariat les atteintes substantielles à la vie privée, d’une part, et à protéger les renseignements personnels en prenant des mesures matérielles, organisationnelles et technologiques appropriées qui correspondent au niveau de sensibilité des données, d’autre part.  

Soulignons aussi que des normes, des directives et des politiques détaillées énoncent les exigences imposées aux institutions fédérales en matière de sécurité informatique et de protection de la vie privée. Toutefois, le gouvernement dispose en réalité de ressources limitées, ce qui peut l’amener à mettre en œuvre à la hâte de nouveaux systèmes sans avoir accordé suffisamment d’attention aux mesures de protection techniques et organisationnelles.

D’après des rapports récents, les systèmes informatiques du gouvernement du Canada sont la cible de milliers d’attaques chaque année. Heureusement, des organisations comme le Centre de la sécurité des télécommunications du Canada parviennent à déjouer la grande majorité de ces attaques. Toutefois, lorsque des mesures de protection insuffisantes aboutissent à des atteintes à la sécurité des données, il peut y avoir des répercussions bien réelles sur la vie privée.

C’est pourquoi le Commissariat a un rôle à jouer dans ce contexte, de concert avec les spécialistes de la cybersécurité. Nous pouvons apporter notre contribution en nous assurant que les organisations mettent en œuvre des mesures de sécurité et de protection de la vie privée dès la conception afin d’atténuer comme il se doit les risques pour les individus, en plus d’encourager celles-ci à faire preuve de transparence quand des problèmes surviennent. 

Protection de la vie privée et sécurité

Quand nous protégeons le cyberespace – l’information qui y réside et l’infrastructure sur laquelle il repose –, nous protégeons en partie les renseignements personnels des individus. C’est pourquoi je tiens à souligner que dans le contexte de la protection des données, les objectifs communs de protection de la vie privée et de sécurité ne sont pas opposés. Mais ils ne sont pas nécessairement toujours faciles à concilier.

Les cybermenaces sont constantes. Elles frappent partout dans le monde et sont de plus en plus perfectionnées. Il est dès lors clair que le gouvernement et le secteur privé doivent pouvoir échanger rapidement de l’information sur les systèmes informatiques vulnérables. 

Je pourrais citer en exemple les modifications proposées au projet de loi C-59, en vertu desquelles le CSTC jouerait un rôle dans l’échange de renseignements sur la cybersécurité avec d’autres organisations. Selon les modifications proposées, ces renseignements peuvent inclure une communication privée interceptée, selon le contexte de l’échange. 

La protection de la cyberinfrastructure peut nécessiter une surveillance à la seconde près de toutes les activités sur un réseau afin d’y détecter les anomalies et les menaces. Dans certains cas, ce type de surveillance peut exiger la collecte et l’analyse d’énormes quantités de renseignements personnels. Nous reconnaissons la nécessité de recueillir toutes ces données pour surveiller efficacement les réseaux, mais il est tout aussi important de nous assurer que la conservation, l’utilisation et la communication des renseignements personnels sont limitées de façon appropriée.

Partenariats et éducation

D’autres intervenants avant moi ont parlé des mesures à prendre pour relever efficacement les défis que pose la cybersécurité – entre autres par les partenariats et l’éducation. Je suis d’accord avec eux. L’éducation est un objectif central du Commissariat en vertu du mandat que lui confère la LPRPDE. Nous concentrons nos efforts de sensibilisation sur les petites entreprises car nombre d’entre elles disposent de ressources limitées.

De plus, le Commissariat collabore activement avec l’Organisation internationale de normalisation (ISO) dans le cadre de l’élaboration de normes sur des sujets liés au cyberespace, par exemple la gestion de l’identité et de l’accès, et de codes de pratique pour la protection des renseignements personnels en général et l’utilisation des nuages publics en particulier. Nous continuons de formuler des commentaires pour les nouvelles normes de l’ISO sur la désidentification, l’Internet des objets, l’intelligence artificielle et la technologie de chaînes de blocs. 

Dans notre nouveau blogue Savoir Techno, nous tentons de démystifier pour le public la cybersécurité et d’autres questions touchant les technologies de l’information. Nous avons publié récemment des billets portant sur des sujets comme les rançongiciels et les réseaux privés virtuels. Dans les billets à venir, nous expliquerons la technologie de cryptage et de registre distribué (ou chaîne de blocs). En 2014, nous avons publié un rapport de recherche sur la cybersécurité. Nous voulions susciter un dialogue sur le sujet car la cybersécurité est un élément important de la protection de la vie privée en ligne.

Cette année, le Commissariat s’intéresse particulièrement au financement de projets de recherche indépendante et d’application des connaissances dans le cadre de son Programme des contributions. Ce programme vise à promouvoir le développement et l’adoption de technologies renforçant la protection de la vie privée. 

Conclusion

Les Canadiens s’attendent à un niveau de protection élevé afin de pouvoir faire confiance à notre économie numérique. Dans ce contexte, les spécialistes de la cybersécurité et les autorités de protection des données comme le Commissariat doivent absolument travailler encore plus étroitement pour améliorer les mécanismes de défense de notre cyberinfrastructure et faire de la protection de la vie privée un principe directeur des efforts en matière de cybersécurité. 

Je vous remercie de m’avoir invité à vous faire part de mes commentaires. Je suis maintenant prêt à répondre à vos questions.

Date de modification :