Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Enquête sur la perte par la Gendarmerie royale du Canada d’un dispositif de stockage bus série universel (USB) non chiffré

Plainte en vertu de la Loi sur la protection des renseignements personnels (la Loi)

Le 11 mars 2025

Description

En mars 2022, le Commissariat a été informé qu’une atteinte à la sécurité des données est survenue à la Gendarmerie royale du Canada (GRC) concernant la perte d’un dispositif de stockage bus série universel (USB) non chiffré contenant une grande quantité de données sensibles. Notre enquête a porté sur la réponse de la GRC à l’atteinte, en tenant compte des circonstances entourant la perte du dispositif de stockage USB, et a permis d’évaluer l’utilisation générale des dispositifs de stockage USB à la GRC.

Points à retenir

  • Les employés ont la responsabilité de veiller à ce que les atteintes soient signalées rapidement afin que les individus touchés en soient informés en temps opportun.
  • Les institutions ont la responsabilité de s’assurer que les mesures en place pour protéger les renseignements personnels sont appropriées et correspondent au degré de sensibilité des renseignements qui relèvent d’elles.
  • Les institutions doivent s’assurer que les politiques et procédures mises en place pour protéger les renseignements personnels dont elles ont la gestion sont suivies et appliquées.

Rapport de conclusions

Vue d’ensemble

En mars 2022, la Gendarmerie royale du Canada (GRC) a informé le Commissariat à la protection de la vie privée du Canada qu’une atteinte substantielle à la vie privéeNote de bas de page 1 était survenue après la perte d’un dispositif de stockage USB à un détachement.Note de bas de page 2 Le dispositif a été trouvé et utilisé par des acteurs malveillants.

Le dispositif, qui n’était ni chiffré ni protégé par un mot de passe, contenait divers documents, notamment des photos, des vidéos et d’autres renseignements personnels sensibles concernant 1 741 individus, dont des témoins, des plaignants, des sujets d’intérêt, des informateurs, des agents de police et des employés civils.

Dans le cadre de son enquête sur cette atteinte à la vie privée, le Commissariat cherchait à établir si la GRC avait enfreint la Loi sur la protection des renseignements personnels (la Loi) et si la réponse de la GRC à l’atteinte était adéquate. Compte tenu du fait que le Commissariat a reçu au cours de son enquête deux autres signalements d’atteinte à la vie privée de nature semblable, il a aussi examiné si les mesures prises par la GRC étaient suffisantes pour protéger les renseignements contenus dans les dispositifs de stockage USB et, de façon plus générale, pour empêcher leur perte.

L’enquête du Commissariat a d’abord permis d’établir que la GRC avait enfreint l’article 8 de la Loi, étant donné que les individus dont les renseignements personnels étaient contenus dans le dispositif n’ont pas consenti à la communication de leurs renseignements et qu’aucune des dispositions prévues au paragraphe 8(2) – qui aurait permis la communication des renseignements personnels sans consentement – ne s’appliquait. Ensuite, en ce qui concerne la réponse de la GRC à l’atteinte à la vie privée, le Commissariat conclut que le personnel de la GRC a omis de signaler rapidement la perte du dispositif aux responsables de la GRC. Toutefois, le Commissariat constate qu’une fois que la GRC a été mise au courant de l’atteinte, la notification des individus touchés ainsi que les mesures prises pour atténuer le risque que ces personnes subissent d’autres préjudices étaient généralement appropriées dans les circonstances. Enfin, le Commissariat estime que la GRC a omis de prendre les mesures nécessaires pour protéger les renseignements personnels.

Compte tenu de ce qui précède, le 15 mars 2024, le Commissariat a recommandé à la GRC de mettre en place une série de mesures pour renforcer la sécurité associée à l’utilisation des dispositifs de stockage USB; la GRC doit non seulement s’assurer que les dispositifs utilisés sont approuvés, mais elle doit aussi mener des vérifications pour confirmer que les dispositifs USB sont retournés lorsqu’ils ne sont plus nécessaires, en plus d’offrir de la formation supplémentaire. Bien que la GRC ait indiqué plusieurs mois plus tard qu’elle acceptait les recommandations du Commissariat, elle a expliqué qu’elle ne pouvait s’engager à mettre en œuvre les recommandations dans un délai donné. La GRC a aussi indiqué qu’au moment de la rédaction du présent rapport, elle mettait à l’essai des solutions provisoires pour réduire considérablement l’utilisation de dispositifs de stockage USB non chiffrés, tout en étudiant des options qui lui permettraient de faire cesser l’utilisation de dispositifs de stockage USB. La GRC ne pouvait toutefois pas fournir de calendrier de mise en œuvre ni s’engager à respecter des délais pour mener à bien ces essais et, par conséquent, pour donner suite aux deux premières recommandations du Commissariat. Quant à la formation supplémentaire, la GRC a affirmé que ses équipes responsables de l’accès à l’information et de la protection des renseignements personnels (AIPRP) ainsi que de la sécurité donnent régulièrement des présentations et des séances d’information qui traitent en particulier des atteintes à la vie privée, de la sécurité des données et de l’adoption de nouvelles technologies.

En tenant compte du fait que la GRC a signalé d’autres atteintes causées par la perte de dispositifs de stockage USB et qu’elle n’a pu établir de calendrier pour régler efficacement la question, y compris la mise en œuvre des recommandations du Commissariat ou d’autres solutions, le Commissariat conclut que la plainte est fondée et non résolue.

Contexte

  1. En mars 2022, la GRC a informé le Commissariat qu’une atteinte à la vie privée de nature substantielle s’était produite dans l’un de ses détachements. La GRC a pris connaissance de cette atteinte à la vie privée lorsqu’un informateur confidentiel a signalé qu’un dispositif de stockage USB (le dispositif) appartenant à la GRC circulait dans la communauté criminelle et que des copies avaient été faites et proposées à la vente à des membres du public.
  2. Bien qu’un rapport initial d’incident de sécuritéNote de bas de page 3 a été soumis à la Section de la sécurité ministérielle de la GRC (SSM) qui supervise le détachement où l’incident s’est produit, la perte du dispositif n’était pas mentionnée. Le rapport ne parle que de la perte des clés des portes et des serrures du détachement. Ce n’est que 21 jours plus tard que la perte du dispositif a été signalée à la SSM – un jour après que la GRC a été contactée par l’informateur confidentiel. On a expliqué par la suite que ce retard était dû au fait que l’on tentait de retrouver le dispositif perdu.
  3. Dans le cadre de sa propre enquête, la GRC a confirmé que le dispositif perdu contenait des documents relatifs à divers dossiers et à différentes enquêtes de la GRC qui comprenaient les renseignements personnels de 1 741 individus, dont des témoins, des plaignants, des sujets d’intérêt, des informateurs, des agents de police et des employés civils. L’enquête de la GRC a également établi que seuls certains des documents contenus dans le dispositif étaient protégés par un mot de passe et que le dispositif lui-même n’était ni chiffré ni protégé par un mot de passe.
  4. Les renseignements personnels en question comprenaient des noms, des renseignements biographiques, des statuts de citoyenneté, des coordonnées, des antécédents criminels, des vérifications d’information, des dates et lieux de naissance et de décès, des identifications d’employé, des attributs physiques, des signatures, d’autres numéros d’identification, des photos et des vidéos.

Portée et méthodologie

  1. Le paragraphe 29(3) de la Loi donne au Commissaire à la protection de la vie privée l’autorité de déposer une plainte contre une institution s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question en vertu de la Loi. Compte tenu de la nature extrêmement sensible des renseignements personnels contenus dans le dispositif, des préjudices potentiels pour les individus touchés par la perte du dispositif (y compris l’atteinte à la réputation et les risques pour la sécurité personnelle) et du fait que le Commissariat avait précédemment formulé des recommandations à la GRC concernant l’utilisation de dispositifs de stockage USB,Note de bas de page 4 le Commissaire a déposé une plainte contre la GRC.
  2. L’enquête du Commissariat visait à répondre à trois questions :
    1. La GRC a-t-elle communiqué des renseignements en violation de l’article 8 (communications qui sont permises sans consentement) de la Loi à la suite de l’atteinte à la vie privée?
    2. La réponse de la GRC à l’atteinte à la vie privée était-elle appropriée dans les circonstances?
    3. Les mesures prises par la GRC pour protéger les renseignements personnels contenus dans les dispositifs de stockage USB étaient-elles suffisantes?
  3. Notre analyse a porté sur les circonstances qui ont conduit à l’atteinte à la vie privée, notamment i) les raisons pour lesquelles des renseignements personnels ont été placés sur des dispositifs de stockage USB, ii) l’utilisation générale des dispositifs de stockage USB au détachement de la GRC où le dispositif a été perdu et iii) les politiques et procédures concernant l’acquisition et l’utilisation des dispositifs de stockage USB qui étaient en vigueur au moment de l’atteinte à la vie privée. À cette fin, nous avons pris en compte les observations présentées par la GRC et mené des entretiens pendant une visite sur place avec des témoins clés de la GRC et du personnel du détachement, ainsi qu’avec d’autres fonctionnaires de la GRC.

Analyse

Enjeu 1 : La GRC a-t-elle communiqué des renseignements personnels en violation de l’article 8 de la Loi?

  1. Le paragraphe 8(1) de la Loi prévoit que les renseignements personnels ne peuvent être communiqués qu’avec le consentement de l’individu ou conformément aux dispositions du paragraphe 8(2) de la Loi, qui autorise la communication sans consentement dans certains cas précis.
  2. Le Commissariat a établi que le contenu du dispositif, qui comprenait des renseignements personnels, a été communiqué. Ce constat est fondé sur les faits suivants : i) le dispositif a été perdu; ii) il a été établi qu’il contenait des renseignements personnels très sensibles alors qu’il n’était pas chiffré ni protégé par un mot de passe; et iii) son contenu a été copié illégitimement et proposé à la vente au public.
  3. Les individus dont les renseignements personnels étaient contenus dans le dispositif n’ont pas consenti à la communication de leurs renseignements. De plus, aucune des dispositions permettant la communication de renseignements personnels sans consentement aux termes du paragraphe 8(2) de la Loi ne s’applique aux faits de la présente affaire. Il y a donc eu une communication non autorisée de renseignements personnels très sensibles et, par conséquent, le Commissariat estime que la GRC a communiqué des renseignements personnels en violation de l’article 8 de la Loi et que la plainte est fondée.

Enjeu 2 : La réponse de la GRC à l’atteinte à la vie privée était-elle appropriée dans les circonstances?

  1. Le Secrétariat du Conseil du Trésor (SCT) publie des directives et des conseils sur l’application de la Loi. Bien que le SCT ait publié une nouvelle directive après l’incident, lorsque l’atteinte s’est produite, ce sont les Lignes directrices sur les atteintes à la vie privéeNote de bas de page 5 du SCT (les lignes directrices) qui étaient en vigueur et qui s’appliquaient à l’incident. La section 4 des lignes directrices fournit des orientations sur les mesures qu’une institution doit prendre pour réagir de manière adéquate à une atteinte à la vie privée. Il s’agit notamment des mesures suivantes :
    • Prendre des mesures immédiates pour mettre fin à l’atteinte et protéger les dossiers, systèmes ou sites Web touchés, par exemple en s’efforçant de récupérer les documents ou copies de documents communiqués à tort.
    • Consigner l’atteinte à la vie privée, notamment en :
      • décrivant les circonstances qui ont donné lieu à l’atteinte à la vie privée;
      • faisant l’inventaire des renseignements personnels qui ont été ou pourraient avoir été compromis;
      • identifiant les individus ou groupes touchés par l’atteinte à la vie privée;
      • décrivant le processus qui a été suivi pour aviser les individus touchés.Note de bas de page 6
    • Aviser le coordonnateur de l’AIPRP du ministère et l’agent de sécurité du ministère, ainsi que le Commissariat et le SCT s’il est établi qu’il s’agit d’une atteinte substantielle.
  1. En ce qui concerne les mesures prises pour réprimer l’atteinte à la vie privée, nous constatons que le membre de la GRC qui a perdu le dispositif a seulement signalé l’incident un jour après qu’un informateur confidentiel a contacté la GRC, soit 21 jours après la perte. Par la suite, la GRC a tenté de récupérer le dispositif original, sans succès. Même si elle avait pu le récupérer, la GRC ne disposait que de moyens limités, voire inexistants, pour empêcher la diffusion des renseignements, compte tenu du temps écoulé et du fait qu’elle ne savait ni combien de copies avaient été faites ni combien d’entre elles étaient en circulation, comme l’avait signalé l’informateur confidentiel.
  2. En ce qui concerne la consignation de l’atteinte à la vie privée, la GRC a mené des entretiens avec son personnel pour mieux comprendre les circonstances qui ont donné lieu à l’atteinte. Elle a également lancé une enquête complète sur l’atteinte à la vie privée, ce qui a permis à la GRC d’évaluer le contenu du dispositif et de confirmer l’étendue et la nature des renseignements stockés sur le dispositif, ainsi que l’identité des individus dont les renseignements personnels ont été touchés par l’atteinte à la vie privée.
  3. La GRC a ensuite informé le Bureau de la sécurité du ministère et le coordonnateur de l’AIPRP. Le coordonnateur a estimé que l’atteinte à la vie privée était substantielle,Note de bas de page 7 puis a avisé le Commissariat et le SCT.
  4. Pour ce qui est d’aviser les individus touchés par l’atteinte à la vie privée, la GRC a procédé à une évaluation afin de déterminer le niveau de risque associé à chaque individu touché. Les individus ont été regroupés en trois catégories de risque – élevé, modéré et faible – et ont été avisés par la GRC comme suit :
    1. Les individus appartenant à la catégorie à risque élevé ont été avisés en personne par un membre de la GRC et, dans certains cas, par un membre des services d’aide aux victimes. Le cas échéant, des mesures de sécurité ont été mises en place pour protéger les individus touchés.
    2. Les individus appartenant à la catégorie de risque modéré ont été avisés par téléphone.
    3. Les individus appartenant à la catégorie de risque faible ont été avisés par la poste.

La GRC a indiqué qu’un certain nombre d’individus touchés n’ont pas pu être avisés (parce que leurs coordonnées étaient inconnues, qu’ils n’ont pu être localisés ou qu’ils ne souhaitaient pas avoir de contact avec la police).

  1. Nous sommes satisfaits de l’approche générale adoptée par la GRC pour aviser les individus touchés et admettons qu’une notification indirecte n’était pas possible compte tenu des risques que cela pouvait présenter pour certaines personnes, comme nous l’avons mentionné.
  2. Nous notons également que le fait de ne pas avoir signalé la perte du dispositif en même temps que la perte des clés du détachement a retardé la capacité de la GRC à informer les individus touchés.
  3. À cet égard, nous notons que la publication de la SSM de la GRC sur les rapports d’incidents de sécurité, datée de décembre 2021, indique que les membres doivent signaler les atteintes à la sécurité des renseignements et autres biens (définies comme « la divulgation non autorisée, le vol, la perte ou l’accès à des renseignements sensibles et autres biens » [caractères gras ajoutés]). Bien que la GRC ait indiqué au cours de nos entretiens que ces incidents devaient être signalés immédiatement, la publication de la SSM ne précise pas le délai dans lequel un incident doit être signalé.
  4. Nous estimons qu’une fois que la GRC a été mise au courant de l’atteinte, sa réaction, la notification des individus touchés et les mesures prises pour atténuer le risque que ces personnes subissent un préjudice étaient généralement appropriées dans les circonstances. Toutefois, étant donné que le personnel de la GRC n’a pas signalé rapidement, dès le départ, la perte du dispositif de stockage USB aux responsables de la GRC, le Commissariat considère que ce volet de la plainte est fondé; il a donc recommandé à la GRC de revoir ses politiques afin de veiller à ce que le personnel de la GRC signale en temps opportun les atteintes à la vie privée aux responsables de la GRC et d’organiser une formation sur la gestion adéquate des atteintes à la vie privée.
  5. De plus, le Commissariat demeure préoccupé par les mesures de protection prises par la GRC en ce qui concerne l’utilisation de dispositifs de stockage USB pour les renseignements personnels sensibles. Il convient de souligner qu’au cours de son enquête, le Commissariat a reçu deux autres signalements d’atteinte à la vie privée de nature semblable de la part d’autres détachements de la GRC. Étant donné que le Commissariat avait déjà formulé en 2014 des recommandations concernant l’utilisation des dispositifs de stockage USB, nous avons poursuivi notre enquête sur l’atteinte initiale pour établir si les pratiques de la GRC concernant l’utilisation du dispositif perdu étaient adéquates au moment de l’atteinte à la vie privée, mais aussi si ces pratiques étaient adéquates pour les dispositifs de stockage USB en général.

Enjeu 3 : Les mesures prises par la GRC étaient-elles suffisantes pour protéger les renseignements contenus dans les dispositifs de stockage USB et pour empêcher leur perte?

  1. La Loi ne dit rien sur les mesures que les institutions doivent prendre pour empêcher la communication non autorisée de renseignements personnels aux termes de l’article 8. Cependant, le Commissariat avait déjà noté que de bonnes pratiques en matière de sécurité sont essentielles pour satisfaire aux exigences de la Loi.Note de bas de page 8 Ainsi, pour protéger les renseignements personnels, les institutions devraient prendre des mesures appropriées qui correspondent au degré de sensibilité des renseignements et à la probabilité qu’ils soient mal utilisés (en cas de communication).
  2. Compte tenu de la nature et de la sensibilité des renseignements que la GRC traite quotidiennement, le Commissariat se serait attendu à ce que la GRC ait en place des mesures de sécurité strictes pour protéger ses fonds de renseignements. Nous nous serions aussi attendus à ce que ces mesures fassent l’objet d’un suivi rigoureux et à ce que la GRC prenne rapidement des mesures en cas de découverte d’une pratique non conforme, qu’elle soit accidentelle ou non.
  3. Dans ce cas, les renseignements dans le dispositif étaient très sensibles (identification des victimes et des informateurs confidentiels) et se sont retrouvés en circulation dans la communauté criminelle. Il existe donc un risque plus élevé de graves préjudices à l’endroit des individus touchés.
Politiques d’acquisition et d’utilisation des dispositifs de stockage USB
  1. La « Norme de transfert de données cotées Non protégé, Protégé A ou Protégé B vers ou depuis le système ROSS avec une clé USB » (la norme), datée de septembre 2021, autorise l’utilisation de dispositifs de stockage USB pour la communication légale, la communication de renseignements avec les partenaires de la police et l’échange de renseignements sur la santé et la sécurité au travail des membres de la GRC dans les situations où un logiciel de partage de fichiers sécurisé n’est pas envisageable. Dans ces cas, l’utilisation de dispositifs de stockage USB est soumise à certaines exigences, dont les suivantes :
    1. Les détachements doivent acheter des dispositifs de stockage USB auprès de Services partagés Canada.
    2. Les détachements doivent inventorier les dispositifs de stockage USB à l’aide d’un système de gestion des biens approuvé, les dispositifs doivent avoir un identifiant unique et ne peuvent être attribués qu’à un individu autorisé.
    3. Les dispositifs de stockage USB doivent être sécurisés à l’aide d’une solution autorisée de chiffrement intégral du disque et d’un mot de passe conforme à la politique de la GRC en matière de mots de passe.
  2. Notre visite sur place a permis de confirmer que des dispositifs de stockage USB étaient utilisés pour transférer physiquement des renseignements dans les cas où les renseignements étaient trop volumineux pour être envoyés par courrier électronique ou par l’intermédiaire d’un logiciel de partage de fichiers sécurisé. Notre visite a aussi permis de confirmer que le service des finances du détachement est chargé d’acheter des dispositifs de stockage USB par l’intermédiaire de Services partagés Canada.
  3. La visite des lieux nous a également permis de confirmer que le détachement de la GRC n’avait pas respecté, du moins au moment de l’atteinte à la vie privée, certaines des procédures et politiques en vigueur concernant les dispositifs de stockage USB contenant des renseignements protégés. Plus particulièrement, contrairement aux exigences de la norme :
    1. aucun système n’a été mis en place pour veiller à ce que les membres de la GRC achètent des dispositifs de stockage USB uniquement par l’intermédiaire de Services partagés Canada;
    2. aucun système n’a été mis en place pour étiqueter les dispositifs ou en assurer le suivi approprié après leur achat (c’est-à-dire qu’un identifiant unique n’a pas été attribué aux dispositifs et les dispositifs n’ont pas été remis aux membres contre signature);
    3. les dispositifs de stockage USB achetés n’étaient pas chiffrés avant d’être remis aux membres.
  4. Dans sa propre enquête interne, la GRC a établi, en ce qui concerne le dispositif de stockage USB perdu, que les politiques et procédures susmentionnées avaient été enfreintes, notamment concernant ce qui suit :
    1. Le dispositif n’a pas été acheté dans le respect du processus approuvé et il n’a pas été correctement inventorié;
    2. Le dispositif n’était pas chiffré;
    3. Le dispositif contenait des renseignements personnels qui n’étaient pas destinés à une fin autorisée aux termes de l’article 3.2 de la norme.Note de bas de page 9
Sensibilisation à la sécurité et à la protection de la vie privée
  1. Au cours des entretiens, la GRC faisait peu référence à la formation sur la sensibilisation à la sécurité ou au renforcement périodique de la sensibilisation à la sécurité au moyen de communications et de documents ciblés.
  2. Dans ses observations, la GRC a ajouté des copies d’avis et de communications qu’elle avait émis à l’intention de ses membres concernant l’utilisation appropriée des dispositifs de stockage USB et l’importance de protéger les renseignements stockés sur ces dispositifs. Nous notons toutefois que ces cas sont sporadiques. En réponse à l’atteinte à la vie privée, la GRC a envoyé plusieurs rappels dans les jours ou les mois qui ont suivi l’atteinte.
  3. Nous avons également appris au cours de nos entretiens que les communications provenant du quartier général de la GRC sont souvent ignorées et que les membres accordent plus d’importance aux communications provenant des régions ou des détachements.
  4. La GRC a expliqué qu’elle mène de façon continue des campagnes de sensibilisation à la sécurité par la communication de rappels périodiques et que des documents fournis « à titre d’information » font partie intégrante d’un programme de sécurité. D’après les renseignements que nous avons recueillis, il semble donc qu’au moment de l’atteinte à la vie privée, les communications que la GRC transmettait aux membres concernant les responsabilités et les pratiques exemplaires en matière de dispositifs de stockage USB étaient inefficaces ou n’avaient pas eu lieu depuis longtemps.
  5. Enfin, en ce qui concerne la formation sur la protection de la vie privée en général, de nombreux témoins à qui nous avons parlé au cours de notre visite sur place ont indiqué que cela faisait longtemps – parfois plus de dix ans – qu’ils n’avaient pas participé à une formation sur la protection de la vie privée. Un témoin a déclaré que les membres suivent une formation initiale sur la protection de la vie privée au Dépôt,Note de bas de page 10 mais qu’ils ne reçoivent pas d’autre formation sur la protection de la vie privée par la suite.
Surveillance de la conformité aux politiques
  1. Notre examen des politiques de la GRC a révélé que l’article 5 de la section F du document de politique intitulé « Manuel d’administration, XI.1. Sécurité organisationnelle et administrative 14-03-2006 », daté de mars 2006, traite de la réalisation d’examens périodiques de la sécurité des unités. De plus, l’article 6 traite du renforcement continu de la formation sur la sensibilisation à la sécurité pour la protection des renseignements et des biens de la GRC.
  2. Nos entretiens nous ont permis de conclure que le détachement n’effectuait pas d’analyses pour détecter les dispositifs non autorisés et qu’il ne surveillait pas de manière adéquate la conformité aux processus. Alors que le service informatique de la GRC effectuait périodiquement des vérifications de sécurité, conformément à la politique, ces vérifications n’ont pas permis de recenser les cas d’utilisation de dispositifs de stockage USB qui n’avaient pas été achetés dans le cadre du processus approuvé. Nous avons aussi constaté, lors de nos entretiens, qu’il était difficile de procéder à des ratissages de sécurité pour détecter les dispositifs non autorisés, car les détachements étaient généralement au courant des ratissages prévus, et que les ratissages non prévus étaient difficiles à réaliser en raison du manque de ressources.
  3. En ce qui concerne le renforcement continu de la sécurité par le détachement et son service informatique, notre analyse nous a permis de confirmer qu’il n’existait aucun système permettant de désactiver un dispositif non autorisé connecté à un ordinateur du détachement ni aucun système permettant d’alerter à distance le service informatique de la connexion d’un dispositif ou d’un périphérique non autorisé. Un tel système est un élément rigoureux d’un programme de sécurité.
  4. En fin de compte, si les politiques que la GRC avait mises en place au moment de l’atteinte à la vie privée étaient généralement adéquates, elles n’ont pas été suffisamment communiquées et appliquées pour empêcher une mauvaise utilisation des dispositifs de stockage USB, ce qui a augmenté le risque qu’une atteinte à la vie privée ou qu’un autre incident de sécurité survienne. Nous constatons également que l’absence de formation sur la protection de la vie privée parmi les membres augmente davantage le risque d’une mauvaise utilisation des renseignements personnels.
  5. Au cours de nos entretiens, la GRC a indiqué qu’elle avait pris les mesures suivantes à la suite de l’atteinte à la vie privée :
    1. Peu de temps après l’atteinte à la vie privée, la GRC a envoyé un communiqué à l’échelle du ministère pour rappeler aux membres leurs responsabilités en matière de protection des renseignements et de signalement des atteintes à la vie privée.
    2. Le détachement a mis en place un système pour assurer l’étiquetage des biens et le suivi des dispositifs de stockage USB achetés auprès de Services partagés Canada par l’intermédiaire du service des finances, et les dispositifs sont désormais chiffrés avant d’être remis au membre demandeur. De plus, les membres doivent maintenant retourner les dispositifs au service des finances une fois que les fins pour lesquelles ils étaient utilisés ont été réalisées.
    3. La GRC a procédé à l’examen de la manière dont elle traite les communications entre ses détachements et partenaires (p. ex. les bureaux de la Couronne) et étudie des solutions qui élimineraient la nécessité d’utiliser des dispositifs de stockage USB pour ces communications.
    4. L’unité d’AIPRP de la GRC a fait plusieurs présentations sur la protection de la vie privée dans toutes les régions où se trouve un bureau de la GRC afin de souligner l’importance de protéger les renseignements qui relèvent de la GRC.
  6. Compte tenu de ce qui précède, nous concluons qu’au moment de l’atteinte à la vie privée, la GRC avait omis de prendre les mesures adéquates pour protéger les renseignements personnels et, dans le cas présent, des renseignements personnels très sensibles contenus dans le dispositif de stockage USB qui a été perdu. Par conséquent, ce volet de la plainte est fondé.

Recommandations

  1. À la lumière de ce qui précède, le Commissariat a formulé des recommandations à l’intention de la GRC.
  2. Même si les mesures correctives décrites au paragraphe 37 constituent un pas dans la bonne direction, le Commissariat a estimé qu’il y avait encore plusieurs domaines dans lesquels la GRC pouvait s’améliorer afin d’atténuer les risques qu’une atteinte de cette nature se reproduise. Dans son rapport de conclusions préliminaire, le Commissariat avait fait les recommandations suivantes à la GRC :
    1. Démontrer que des mesures sont en place dans l’ensemble de la GRC pour garantir que seuls des dispositifs de stockage USB approuvés (c’est-à-dire chiffrés et protégés par un mot de passe) sont utilisés, y compris la mise en œuvre d’un système qui alertera le service informatique lorsqu’un dispositif USB non autorisé est connecté aux ordinateurs de la GRC. Le Commissariat a demandé à la GRC de lui fournir de telles preuves (par exemple, un rapport de vérification, une description du système d’alerte proposé, des registres de connexion de dispositifs non autorisés), dans un délai d’un an à compter de la publication du présent rapport de conclusions.
    2. En s’appuyant sur les récentes améliorations apportées aux procédures de suivi des dispositifs de stockage USB, élaborer et mettre en œuvre une procédure de vérification pour surveiller le respect de la pratique visant le retour du dispositif de stockage USB une fois que les fins de son utilisation ont été réalisées. Le Commissariat a demandé à la GRC de lui fournir une procédure de vérification achevée dans les six mois suivant la publication du présent rapport de conclusions et les résultats d’au moins une vérification dans l’année suivant la publication dudit rapport.
    3. Examiner et réviser ses politiques de sécurité et de protection de la vie privée ainsi que le programme de sensibilisation afin de rappeler régulièrement aux membres et aux employés de la GRC leurs responsabilités dans ce domaine, notamment en ce qui concerne le signalement des atteintes à la vie privée. Le Commissariat a demandé que les communications soient transmises par la division ou le détachement ainsi que par le quartier général. Il a aussi demandé à la GRC de lui fournir son calendrier de révision des programmes de sensibilisation à la sécurité et à la protection de la vie privée, ainsi que les communications connexes, dans les six mois suivant la publication du présent rapport de conclusions.
Réponse de la GRC
  1. Le Commissariat a transmis les recommandations ci-dessus à la GRC en mars 2024.
  2. Il a fallu plusieurs suivis et discussions avec la GRC, y compris des rencontres au niveau des sous-commissaires et au niveau des commissaires, pour enfin recevoir une réponse de la GRC. Bien que la GRC ait finalement répondu et indiqué qu’elle acceptait les recommandations du Commissariat, elle ne s’est pas engagée à respecter le calendrier de mise en œuvre que celui-ci avait proposé. Par conséquent, le Commissariat considère que les recommandations n’ont pas été acceptées et que la question n’est pas conditionnellement résolue.
  3. Dans son dernier compte rendu du 20 décembre 2024, la GRC a indiqué qu’elle cherchait des solutions pour remplacer de façon permanente les dispositifs de stockage USB, sauf dans des circonstances précises et limitées où cela est impossible. La GRC a aussi expliqué qu’elle envisagera des solutions provisoires pour limiter l’utilisation des dispositifs de stockage USB le temps de trouver la meilleure solution de remplacement.
  4. À cet égard, la GRC a mentionné qu’elle était sur le point de lancer dans sa plus grande division un programme pilote qui fera en sorte que les membres seront tenus d’utiliser des dispositifs de stockage USB chiffrés et de retourner les dispositifs non chiffrés qui sont déjà en circulation. De même, une autre division étudie l’utilisation d’un logiciel sécurisé pour le transfert d’information protégée, comme les renseignements personnels sensibles.
  5. Concernant la deuxième recommandation du Commissariat, la GRC a indiqué qu’elle devait encore se pencher sur la façon dont elle vérifiera la conformité avec ses politiques et procédures en vigueur portant sur l’utilisation des dispositifs USB, précisant que le projet pilote lui permettra sans doute de définir les prochaines étapes à cet égard.
  6. Quant à la formation, la GRC a affirmé que ses équipes de l’AIPRP et de la sécurité avaient organisé une tournée en 2023 afin de donner en personne des présentations et des séances d’information aux employés des divisions, y compris les cadres supérieurs, et qui traitaient principalement des atteintes à la vie privée, de la sécurité des données et de l’adoption de nouvelles technologies. La GRC a fait observer que cette campagne de sensibilisation sur la sécurité et la protection de la vie privée est toujours en cours, en personne et en virtuel.
  7. Enfin, la GRC s’est engagée à informer régulièrement le Commissariat de ses progrès quant à la mise en œuvre des recommandations que celui-ci a formulées ou de solutions de remplacement adéquates. Elle a aussi mentionné qu’elle était disposée à rencontrer régulièrement le Commissariat, au besoin.

Conclusion

  1. Le Commissariat tient à souligner que la GRC s’est généralement montrée coopérative tout au long de l’enquête. Les individus à qui il a parlé ont reconnu la gravité de la situation et ont pris l’affaire au sérieux. Cela dit, la GRC a parfois mis du temps à répondre au Commissariat, ce qui a prolongé la durée de l’enquête.
  2. Bien que la GRC ait montré qu’elle s’efforce de trouver une solution visant à faire cesser définitivement l’utilisation de dispositifs de stockage USB, sauf dans des circonstances précises et limitées, elle ne s’est pas engagée à mettre ces solutions en place dans un délai précis.
  3. Étant donné que le Commissariat a reçu d’autres signalements concernant la perte de dispositifs USB non chiffrés et que la GRC a refusé de s’engager à mettre en œuvre les recommandations du Commissariat dans un délai donné, nous concluons donc que la plainte est fondée et non résolue.
Date de modification :