Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Lettre de conformité au Commissariat à la protection de la vie privée du Canada (le Commissariat) par Nova Scotia Power

Conditions générales

  1. Le Commissaire à la protection de la vie privée du Canada (le Commissaire) veille au respect de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, ou la Loi), qui régit la collecte, l’utilisation et la communication de renseignements personnels par les organisations du secteur privé dans le cadre d’activités commerciales.
  2. Nova Scotia Power a accepté de respecter les engagements énoncés dans la présente lettre de conformité (la lettre) à la demande du Commissaire. Dans la présente, Nova Scotia Power confirme les mesures qu’elle a déjà prises pour protéger davantage les renseignements personnels depuis l’atteinte à la vie privée survenue le ou vers le 19 mars 2025 (l’atteinte) et s’engage à fournir des renseignements supplémentaires et à accomplir certaines tâches supplémentaires liées à l’atteinte.
  3. Lorsque le Commissaire sera convaincu que Nova Scotia Power a respecté tous les engagements énoncés dans la lettre, l’enquête sur l’atteinte (l’enquête) sera abandonnée conformément à l’alinéa 12.2(1)c) de la LPRPDE, puisque l’organisation aura fourni une réponse juste et équitable. Le Commissaire peut toujours, à sa discrétion, poursuivre l’enquête ou déposer une plainte en vertu du paragraphe 11(2) de la LPRPDE s’il juge que Nova Scotia Power n’a pas respecté les engagements énoncés dans la présente lettre ou si de nouvelles préoccupations en matière de protection de la vie privée relatives à la situation sont portées à son attention.
  4. Le Commissaire peut demander à Nova Scotia Power de fournir des renseignements et des documents afin de vérifier qu’elle respecte les engagements qu’elle a pris dans la présente lettre.
  5. Le Commissaire peut demander à Nova Scotia Power de prendre d’autres engagements après avoir examiné toute information supplémentaire qu’il reçoit relativement à cette affaire.
  6. Le Commissaire peut communiquer ou rendre publique la présente lettre ou une partie de celle-ci en vertu du paragraphe 20(2) de la LPRPDE.
  7. Il est entendu que le Commissaire estime que rien dans la présente lettre n’empêche le Commissaire d’exercer les attributions que lui confère la Loi ou ne lui impose de restrictions à cet égard.
  8. La présente lettre ne constitue pas une reconnaissance de responsabilité ou de faute par Nova Scotia Power et ne doit pas être interprétée en ce sens.

Vue d’ensemble de l’incident

Les faits relatifs à l’atteinte, tels qu’ils sont connus à la date de la signature de la présente lettre et tels qu’ils ont été confirmés par Nova Scotia Power, sont les suivants :

Chronologie de l’atteinte à la vie privée

  • Le ou vers le 19 mars 2025, un employé de Nova Scotia Power a visité un site Web qui avait été compromis par le logiciel malveillant SocGholish (FakeUpdates). L’employé a cliqué sur un lien dans une fenêtre surgissante sur ce site, déclenchant le téléchargement et l’installation d’un logiciel malveillant sur les systèmes de Nova Scotia Power. Le logiciel a créé un processus en arrière-plan et a téléchargé d’autres logiciels malveillants. C’est ainsi que l’auteur malveillant a obtenu l’accès aux systèmes et au réseau de Nova Scotia Power.
  • Le ou vers le 8 avril 2025, l’auteur malveillant a commencé à se déplacer de façon latérale entre les systèmes dans l’environnement réseau de Nova Scotia Power en utilisant des comptes disposant de privilèges d’accès d’administrateur de domaine. Entre le 8 et le 22 avril 2025, l’auteur malveillant a déployé et utilisé d’autres logiciels malveillants pour effectuer des activités de reconnaissance interne et de collecte d’authentifiants.
  • Entre le 23 et le 25 avril 2025, l’auteur malveillant a exfiltré des données se trouvant dans des fichiers sur le réseau local et dans du stockage infonuagique.
  • Le 25 avril 2025, l’auteur malveillant a utilisé les authentifiants recueillis lors de ses précédentes activités de collecte pour détruire les sauvegardes et déployer un rançongiciel.
  • L’atteinte a été découverte le 25 avril 2025, lorsque des employés de Nova Scotia Power ont signalé que certaines applications ne fonctionnaient pas, une conséquence de l’attaque par rançongiciel.
  • Nova Scotia Power a reçu des communications de l’auteur malveillant, qui contenaient un hyperlien vers une page non répertoriée accessible par l’intermédiaire du réseau Tor sur le Web clandestin. L’auteur malveillant a fourni la preuve qu’il avait obtenu des renseignements sensibles sur les clients, mais rien ne démontre pour l’instant que ces données sensibles ont été rendues publiques ou vendues. Après avoir examiné les lois applicables sur les sanctions, et conformément aux directives en matière d’application de la loi, Nova Scotia Power n’a pas payé de rançon à l’auteur malveillant.

Portée des renseignements touchés

  • Nova Scotia Power a déterminé qu’environ 375 000 clients actuels et 540 000 anciens clients ont été touchés par l’atteinte.
  • Les renseignements personnels varient selon les personnes concernées, mais comprenaient notamment les noms, numéros de téléphone, adresses électroniques et postales, dates de naissance, historique des comptes (incluant les données sur les paiements et la facturation, l’historique de crédit et les numéros de comptes bancaires), numéros de permis de conduire et numéros d’assurance sociale (NAS) de clients anciens et actuels de Nova Scotia Power.

Plaintes reçues par le Commissariat

  • Le Commissariat a reçu de nombreuses plaintes concernant l’atteinte aux mesures de sécurité.
  • L’une de ces plaintes concernait également la collecte et la conservation des NAS par Nova Scotia Power. L’organisation a expliqué que les NAS font partie des données auxquelles l’auteur malveillant a accédé et qu’il a exfiltrées d’un dépôt de données lié au programme de l’organisation servant à fournir aux clients des renseignements sur leur consommation d’énergie.
  • Plusieurs des plaintes concernaient également le temps pris par Nova Scotia Power pour aviser les personnes touchées, et surtout le fait que les lettres d’avis ont été envoyées par courrier ordinaire, ce qui a retardé leur livraison.

Réponse à l’atteinte

  • À la suite de l’atteinte, Nova Scotia Power a pris des mesures pour veiller à ce que l’environnement touché soit sécurisé. L’organisation, par l’entremise d’un avocat, a embauché une équipe indépendante de cybersécurité et d’intervention en cas d’incident, qui l’a aidée dans ses démarches de confinement, d’enquête et de correction. Ces démarches consistaient notamment à contenir et à isoler les serveurs touchés, à limiter la connectivité réseau, à repérer les comptes compromis et à réinitialiser les authentifiants de ceux-ci, ainsi qu’à renforcer l’environnement (c’est-à-dire appliquer des mesures d’amélioration de la sécurité)Note de bas de page 1.
  • Le 28 avril 2025, trois jours après avoir découvert l’atteinte, Nova Scotia Power a informé le public de celle-ci, notamment au moyen d’un communiqué de presse publié sur son site WebNote de bas de page 2, qui a fait l’objet de reportages dans les médias.
  • Le 1er mai 2025, Nova Scotia Power a avisé le Commissariat de l’atteinte. L’organisation a également mis à jour son site Web et a accompli d’autres démarches de communication et de sensibilisation pour informer le public qu’elle avait établi que certains renseignements personnels de ses clients avaient été touchés et qu’elle s’efforçait de déterminer la nature et la portée des données touchées.

Avis donné directement aux intéressés

  • Le 13 mai 2025, Nova Scotia Power a commencé à envoyer des lettres d’avis à environ 277 000 clients actuels pour lesquels l’organisation avait pu établir que leurs renseignements personnels avaient été touchés. Le lendemain, elle a publié sur son site Web un avis public fournissant des précisions au sujet de l’atteinte, y compris les types de renseignements qui avaient été touchés.
  • Le 31 octobre 2025, Nova Scotia Power a envoyé des lettres d’avis à environ 97 000 autres clients touchés. L’organisation a déterminé que ces clients avaient été touchés à la suite de son enquête continue et avec l’aide d’experts tiers. Elle a notamment utilisé des outils de découverte de données et a effectué un examen manuel approfondi, ce qui, selon l’organisation, fut un processus long et complexe.

Avis donné indirectement aux intéressés

  • En raison de la nature de ses activités, Nova Scotia Power ne disposait pas des coordonnées à jour des anciens clients touchés par l’atteinte. Le 25 juin 2025, l’organisation a publié un avis sur son site Web, lequel précisait que les renseignements personnels d’anciens clients avaient également été touchés par l’atteinte. De plus, l’organisation a aussi diffusé des avis par de multiples autres moyens, notamment les médias traditionnels, les médias sociaux, des communications avec les parties prenantes, de la publicité payante et l’optimisation de la recherche payante.

Surveillance du crédit

  • Dans ses lettres d’avis initiales, Nova Scotia Power offrait aux personnes touchées 24 mois de services de surveillance du crédit et de protection de l’identité, ce qui comprend jusqu’à 1 000 000 $ d’assurance contre le vol d’identité. Depuis le 25 juin 2025, l’organisation a porté à cinq ans l’offre de services de surveillance du crédit et de protection de l’identité pour les personnes touchées et a étendu l’offre de ces services à tous les clients actuels et anciens, y compris ceux qui n’avaient pas été jugés comme étant touchés.

Engagements

Dans la présente lettre, Nova Scotia Power s’engage volontairement à prendre les mesures supplémentaires énoncées ci-dessous pour veiller à ce que les mesures de sécurité soient adéquates, continuer à gérer les risques liés à l’atteinte et prévenir les atteintes futures.

  1. Confirmation de la suppression des numéros d’assurance sociale des clients
    1. D’ici le 31 mars 2026, Nova Scotia Power confirmera au Commissaire qu’elle a supprimé tous les NAS de ses systèmes, selon les exigences juridiques de conservation de ces renseignements (par exemple, obligation légale de préservation ou de déclaration fiscale), et a mis en œuvre des contrôles de séparation de ces données afin qu’elles ne soient pas utilisées à d’autres fins.

  2. Évaluation de la sécurité externe
    1. D’ici le 31 octobre 2026, Nova Scotia Power fournira au Commissaire un rapport d’évaluation de sécurité confidentiel, préparé par une organisation d’évaluation de la sécurité réputée et indépendante, qui devra être approuvé par le Commissariat. L’approbation ne sera pas refusée sans motif raisonnable. Ce rapport présentera les résultats d’une évaluation des mesures de protection améliorées dans l’environnement des technologies de l’information de l’organisation au moment de l’évaluation et comprendra au moins les éléments suivants :
      1. une description des améliorations apportées aux mesures de protection depuis l’atteinte;
      2. une évaluation de l’efficacité des mesures de sécurité mises en place par Nova Scotia Power pour protéger les renseignements personnels et pour prévenir et détecter les atteintes potentielles et réagir à celles-ci;
      3. une évaluation de l’efficacité du programme de formation et de sensibilisation des employés de Nova Scotia Power en ce qui a trait à la protection des renseignements personnels et à la sécurité;
      4. une évaluation de l’efficacité des processus mis en place par Nova Scotia Power pour aviser les personnes touchées dès que possible après une atteinte;
      5. toute autre lacune que présentent les mesures de sécurité évaluées et les processus d’avis;
      6. des solutions recommandées pour combler ces lacunes.
    2. D’ici le 31 octobre 2026, Nova Scotia Power informera le Commissaire par écrit de ce qui suit :
      1. si l’organisation a formulé des recommandations;
      2. si elle a accepté chacune des recommandations;
      3. pour chaque recommandation que l’organisation n’a pas acceptée, les raisons de son refus et les mesures qu’elle propose de mettre en œuvre à la place (et le calendrier de mise en œuvre) pour atténuer les risques cernés;
      4. pour chaque recommandation acceptée :
        1. si la recommandation a été pleinement mise en œuvre;
        2. les mesures déjà prises par Nova Scotia Power pour mettre en œuvre la recommandation;
        3. pour les mesures qui n’ont pas encore été entièrement mises en œuvre, un plan qui précise les démarches que Nova Scotia Power va prendre pour les mettre en œuvre et les dates auxquelles elles seront achevées.

Les recommandations (ou l’absence de recommandations) et la mise en œuvre des mesures qui en découlent seront examinées par le Commissaire pour qu’il décide si les mesures mises en œuvre par Nova Scotia Power satisfont adéquatement aux exigences de la LPRPDE et constituent une réponse juste et équitable.

Signature

En signant la présente lettre, Nova Scotia Power s’engage à respecter les conditions qui y sont énoncées.

SIGNÉE à Halifax, dans la province de la Nouvelle-Écosse, ce 18e jour de mars 2026.

Date de modification :