Mémoire sur la cybersécurité

Soumission à l'intention de la Direction de la cybersécurité nationale de la Sécurité publique Canada

Le 13 octobre 2016

Direction de la cybersécurité nationale
Sécurité publique Canada
340, avenue Laurier Ouest, 13e étage
Ottawa (Ontario)  K1P 5K3
ps.cyberconsultation-consultationcyber.sp@canada.ca

Objet : Mémoire sur la cybersécurité

Mesdames, Messieurs,

Nous profitons de votre consultation sur la sécurité et la prospérité dans l’ère numérique pour vous faire part de nos observations concernant les répercussions sur la vie privée de l’approche du Canada en matière de cybersécurité, qui est expliquée dans l’appel de propositions publié par votre ministère le 16 août 2016.

Pour mettre nos observations en contexte, le Commissariat à la protection de la vie privée du Canada a pour mandat de surveiller le respect de la Loi sur la protection des renseignements personnels, laquelle porte sur les pratiques de traitement des renseignements personnels utilisées par les ministères et organismes fédéraux, et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada, de même que de certains aspects de la Loi canadienne anti-pourriel (LCAP). Le Commissariat a pour mission de protéger et de promouvoir le droit des personnes à la vie privée.

Contexte

La protection de la vie privée et la cybersécurité sont étroitement liées. D’une part, les défis liés à la cybersécurité s’appliquent également à la protection de la vie privée. Les organisations doivent demeurer à l’affût des cybermenaces les plus récentes pour protéger leurs systèmes de TI. De leur côté, les responsables de la protection de la vie privée doivent faire de même pour protéger adéquatement les renseignements personnels qui leur ont été confiés par leurs clients et leurs employés. D’autre part, les politiques de cybersécurité peuvent aussi porter atteinte à la vie privée tout comme les stratégies mises en place pour lutter contre les cybermenaces, sans que ce soit voulu pour autant. Il se peut aussi que les stratégies et les activités de cybersécurité donnent lieu à des systèmes de surveillance entraînant la supervision et l’analyse illimitées et perpétuelles des renseignements personnels des individus.

En 2014, le Commissariat a publié un rapport sur les intérêts communs et les tensions entre la vie privée et la cybersécurité. On y examine comment les défis au chapitre de la cybersécurité touchent également la protection de la vie privée et des données, et comment les politiques de cybersécurité peuvent avoir des répercussions sur la vie privée. La question de la gouvernance et de la sécurité du cyberespace comme enjeux mondiaux y est aussi abordée. Enfin, le rapport établit des orientations stratégiques clés dans le but d’intégrer des valeurs liées à la vie privée dans les orientations stratégiques relatives à la cybersécurité, d’encourager l’adoption d’approches législatives qui favorisent la préparation en matière de cybersécurité et de susciter un dialogue sur la cybersécurité en tant qu’élément important de la protection de la vie privée en ligneNote de bas de page 1. Le document de consultation publié par le gouvernement est un pas en avant pour l’établissement de ce dialogue.

Nous invitons fortement le gouvernement à prendre connaissance de notre rapport de recherche pour avoir une meilleure vue d’ensemble des répercussions sur la vie privée. Vous trouverez ci-après des observations (et des liens menant à des documents pertinents préparés par le Commissariat) en réponse aux questions précises posées dans le document de consultation.

TENDANCE NO 1 : ÉVOLUTION DE LA CYBERMENACE

Thème 1.1 : Contrer la cybercriminalité – Application de la loi et organisations des secteurs public et privé

Dans leurs efforts pour contrer la cybercriminalité, les organismes d’application de la loi doivent être conscients des répercussions de leurs activités sur la vie privée des Canadiens. Les évaluations des facteurs relatifs à la vie privée (EFVP), exigées dans certaines situations en vertu de la politique fédérale, constituent un outil de planification et un mécanisme important d’atténuation des risques d’atteinte à la vie privée. Le processus d’EFVP aide à déterminer si les initiatives gouvernementales utilisant des renseignements personnels posent des risques d’atteinte à la vie privée et permet de mesurer, de décrire et de quantifier ces risques, et de proposer des solutions pour les éliminer ou les ramener à un niveau acceptable. Qu’il s’agisse d’un organisme d’application de la loi qui se penche sur les défis croissants que pose la cybercriminalité ou d’institutions gouvernementales qui détiennent de grandes quantités de renseignements personnels sur des citoyens ou des employés, l’EFVP permettra d’assurer le respect de la Loi sur la protection des renseignements personnels, de faire preuve de transparence en expliquant aux Canadiens la façon dont le gouvernement traite leurs renseignements personnels et de rendre compte de l’utilisation des renseignements personnels. Pour en savoir plus sur les EFVP, je vous invite à consulter les documents suivants :

  • Nos attentes : un guide pour la présentation d’évaluations des facteurs relatifs à la vie privée au Commissariat à la protection de la vie privée du Canada, 2011Note de bas de page 2;
  • Évaluation des facteurs relatifs à la vie privée : les dix choses à faire et à ne pas faire, 2016Note de bas de page 3.

En vertu des lois sur la protection de la vie privée dans le secteur privé au Canada, les organisations doivent protéger les renseignements personnels dont elles ont la gestion. Elles doivent aussi déterminer les obligations qui leur incombent en matière de protection de la vie privée ainsi que les risques dans le domaine. Ces risques doivent être pris en compte par les organisations au moment d’élaborer leurs modèles opérationnels, les technologies et les pratiques de fonctionnement connexes, et les mesures de protection requises avant de lancer de nouveaux produits ou services. Ils doivent être réduits le plus possible pour l’organisation, ses employés et ses clients afin d’atténuer les répercussions de toute atteinte à la vie privée. Les organisations y parviendront en se dotant d’un programme évolutif de gestion de la protection de la vie privée qui tiendra toujours compte de ces éléments.

Le Commissariat a produit de nombreuses publications pour aider les organisations à respecter les exigences en matière de reddition de comptes et de sécurité et à éliminer certaines menaces pour la vie privée et la sécurité, par exemple :

  • Un programme de gestion de la protection de la vie privée : la clé de la responsabilité;Note de bas de page 4
  • Protéger les renseignements personnels : Un outil d’auto-évaluation à l’intention des organisations;Note de bas de page 5
  • Dix conseils pour réduire le risque d’atteinte à la vie privée, 2014;Note de bas de page 6
  • Risques en matière de vie privée et de sécurité associés à l’utilisation par les employés de leurs propres appareils à des fins professionnelles, 2015;Note de bas de page 7
  • Paiements électroniques et numériques et protection des renseignements personnels.Note de bas de page 8

La Loi canadienne antipourriel (LCAP) aide à protéger les renseignements personnels des Canadiens en ligne. Son adoption, en 2014, a constitué une avancée importante dans le domaine de la cybersécurité au Canada. Le Commissariat partage la responsabilité de l’application de la LCAP avec le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et le Bureau de la concurrence. Il se concentre sur deux types d’infractions :

  • la collecte d’adresses électroniques, selon laquelle des listes en vrac d’adresses électroniques sont compilées par divers mécanismes, entre autres au moyen de programmes informatiques qui fouillent Internet de façon automatique pour y trouver des adresses; et;
  • la collecte de renseignements personnels en accédant aux systèmes informatiques d’autres personnes de manière illicite, principalement au moyen de logiciels espions.

Le Commissariat met à la disposition du public diverses ressources portant sur les pourriels, entre autres :

Le Commissariat a récemment mené à bien sa première enquête en vertu de la LCAP contre l’entité « Compu-Finder »Note de bas de page 12. Cette entreprise n’avait mis en place aucun programme de gestion de la vie privée et ne pouvait donc pas prouver qu’elle avait obtenu le consentement des intéressés pour utiliser leur adresse de courriel. Elle a depuis accepté de mettre en place ce genre de programme.

L’adoption de mesures pour protéger les renseignements personnels contre les activités illicites telles que l’utilisation de maliciels et d’autres types de fraude constitue non seulement une exigence prévue par la loi, mais aussi un élément essentiel pour préserver la confiance dans l’économie numérique canadienne. La croissance économique future de notre pays repose sur l’innovation et sur la mise en place de cadres rigoureux de sécurité et de protection de la vie privée pour appuyer les citoyens et les organisations.

Contrairement à la LPRPDE, la Loi sur la protection des renseignements personnels n’oblige pas les institutions fédérales à protéger les renseignements personnels dont elles ont la gestion. Le Commissariat a formulé à l’intention du Parlement des recommandations portant sur cette question (entre autres) dans le but d’encourager la réforme et la modernisation de la Loi pour tenir compte de l’évolution de la technologie et de son utilisation depuis son entrée en vigueur en 1983Note de bas de page 13.

Thème 1.2 : Application de la loi dans le cyberespace

Pour ce qui est des attentes des Canadiens concernant la protection de la vie privée et les enquêtes policières sur les activités en ligne, les sondages et les tribunaux au Canada ont été très clairs : le droit à la vie privée et les libertés garantis par la Charte, dont nous bénéficions comme citoyens dans notre vie quotidienne hors ligne, devraient aussi s’exercer en ligne. La Cour suprême du Canada l’a énoncé clairement en 2014 dans R. c. Spencer. En ce qui concerne expressément les pouvoirs des forces policières, les outils d’enquête utilisés en ligne devraient être assortis des mêmes mesures de protection, des mêmes seuils d’autorisation et exigences en matière de fardeau de la preuve et d’atténuation que leurs équivalents dans les recherches et les saisies hors ligne. Dans Spencer et d’autres décisions antérieures, la Cour suprême du Canada a rendu des décisions très cohérentes à cet égard : en tant que société, nous ne mettons pas en péril la protection des droits fondamentaux pour faciliter l’application de la loi ou accélérer les procédures judiciaires.

La Loi sur la protection des Canadiens contre la cybercriminalité, entrée en vigueur en mars 2015, a doté les forces policières d’une série de nouveaux outils, entre autres le pouvoir de surveiller les communications électroniques, de localiser des opérations numériques et de rendre des ordonnances exigeant la préservation des preuves électroniques. Il incombe aux institutions gouvernementales de faire la preuve d’un problème grave et d’expliquer comment elles s’y prendraient pour surmonter les obstacles à l’enquête. Enfin, nous estimons qu’il y a des liens entre les questions soulevées dans le document de consultation et dans la consultation sur la sécurité nationale lancée peu après celle-ci. Nous formulerons d’autres observations sur l’application de la loi et les activités des organismes de sécurité nationale dans le contexte de cette consultation et nous les rendrons publiques.

Thème 1.3 : Se protéger des cybermenaces évoluées

Dans un environnement où des cyberattaques surviennent chaque jour, on n’insistera jamais trop sur l’importance d’adopter un cadre de sécurité global et exhaustif pour assurer une protection contre les accès non autorisés aux renseignements personnels. Le Commissariat a récemment fait enquêteNote de bas de page 14 sur une atteinte à la sécurité des données du site de rencontres pour adultes Ashley Madison. Notre enquête a montré combien il est essentiel que les organisations détenant des renseignements personnels sous forme électronique adoptent des processus, des procédures et des systèmes explicites et appropriés afin de gérer les risques d’atteinte à la sécurité des données et qu’elles se dotent de l’expertise nécessaire (interne ou externe) pour ce faire. C’est particulièrement important lorsqu’il s’agit de renseignements sensibles dont la communication pourrait porter gravement atteinte à la réputation des personnes touchées ou leur causer préjudice autrement. Le Commissariat a rappelé aux organisations qui détiennent des renseignements personnels sensibles ou de grandes quantités de renseignements personnels de mettre en place des mesures de sécurité de l’information, par exemple :

  • une politique de sécurité;
  • un processus de gestion des risques explicite qui traite des questions de sécurité de l’information, élaboré par des personnes possédant une compétence adéquate; et;
  • une formation adéquate sur la sécurité et la protection de la vie privée donnée à tous les employés.

Les lois rendant obligatoire la déclaration des atteintes à la sécurité des données constituent un moyen efficace de renforcer la reddition de comptes par les organisations à l’égard de la protection des renseignements personnels dont elles ont la gestion et de l’adoption de mesures de protection adéquates. La firme IPSOS a mené en 2016 pour le compte du Centre pour l’innovation dans la gouvernance internationale (CIGI)Note de bas de page 15 un sondage relatif à la sécurité sur Internet et à la confiance des Canadiens. Selon ce sondage, 18 % des Canadiens ont été informés d’une atteinte à la sécurité de leurs renseignements personnels. À ce jour, l’approche adoptée au Canada en ce qui a trait à la déclaration des atteintes à la sécurité des données n’est pas uniforme. Les organisations doivent déclarer les atteintes à la sécurité des données sur la santé dans plusieurs provinces, dont l’Ontario, le Nouveau-Brunswick et Terre-Neuve-et-Labrador. En Alberta, les organisations du secteur privé sont assujetties à la Personal Information Protection Act de la province; dans tout le pays, elles seront assujetties à la LPRPDENote de bas de page 16. En vertu de la politique du gouvernement fédéral, les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels doivent signaler au Commissariat à la protection de la vie privée du Canada et au Secrétariat du Conseil du Trésor du Canada toute atteinte substantielle à la vie
privée et préciser les mesures d’atténuation mises en place. Le Commissariat a recommandé de rendre obligatoire la déclaration des atteintes à la vie privée sous le régime de la Loi sur la protection des renseignements personnels.Note de bas de page 17

La déclaration obligatoire renforce la sécurité en donnant un aperçu plus complet des pratiques de sécurité et en permettant de détecter et de corriger les problèmes systémiques. Elle uniformise aussi les règles du jeu pour les organisations sur le plan de l’application de la loi. En imposant les mêmes obligations à toutes les organisations, on évite qu’une organisation soit injustement pointée du doigt lorsqu’elle déclare de façon proactive une atteinte à la sécurité des données.

Thème 1.4 : Accroître la participation du public – Thème 2.1 : Renforcer la confiance des consommateurs à l’égard du commerce électronique

Le mandat du Commissariat consiste notamment à sensibiliser la population aux enjeux concernant la protection de la vie privée et le droit à la vie privée. Pour s’en acquitter, il publie régulièrement diverses ressources éducatives à l’intention des Canadiens. Selon nous, le meilleur moyen pour les Canadiens de se protéger contre de nombreux risques d’atteinte à la vie privée, notamment l’accès non autorisé à leurs renseignements personnels, consiste à connaître leurs droits et à faire des choix éclairés concernant les renseignements personnels qu’ils communiquent, à qui ils les communiquent et dans quel but ils le font. Par exemple, nous avons produit des documents sur les pratiques exemplaires à adopter pour protéger les renseignements personnels, entre autres :

Le Commissariat travaille avec diligence pour renseigner les individus et les organisations concernant les répercussions sur la vie privée des nouvelles technologies, des initiatives gouvernementales et des pratiques commerciales. En plus de produire lui-même des rapports de recherche sur des sujets variés, entre autres les drones Note de bas de page 21 et l’analyse prédictiveNote de bas de page 22, il finance la recherche indépendante par l’intermédiaire du Programme des contributions. Ce programme a pour but de générer de nouvelles idées, approches et connaissances sur la protection de la vie privée que les organisations pourront mettre en œuvre pour mieux protéger les renseignements personnels ou que les Canadiens pourront utiliser pour prendre des décisions plus éclairées en ce qui a trait à la protection de leur vie privée. Le Commissariat a récemment financé des travaux de recherche sur des sujets aussi variés que les véhicules connectésNote de bas de page 23 et la sécurité des appareils de suivi de la condition physique.Note de bas de page 24

Le Commissariat a aussi publié des orientations (dont il a été question tout au long du présent mémoire) pour aider les organisations à mieux protéger les renseignements personnels dont elles ont la gestion. Les individus devraient prendre des mesures pour connaître les risques et se protéger en conséquence, mais la protection des renseignements personnels ne devrait pas reposer uniquement sur leurs épaules. Les organisations ont aussi un rôle à jouer à cet égard. La confiance envers l’économie numérique en dépend.

Conclusion

Dans un monde où les frontières s’estompent de plus en plus, la collaboration entre les spécialistes de la cybersécurité et les autorités chargées de la protection des données revêt une importance croissante. Votre approche renouvelée en matière de cybersécurité met en lumière la nécessité de promouvoir et de protéger les libertés en ligne et d’assurer une collaboration et une coordination entre les provinces et territoires. Dans ce contexte, il est essentiel que les spécialistes de la cybersécurité et les autorités chargées de la protection de la vie privée, comme le Commissariat, collaborent encore plus étroitement pour améliorer les mesures de protection dans les secteurs public et privé et veillent à ce que la protection de la vie privée constitue un principe directeur des efforts de cybersécuritéNote de bas de page 25. Nous sommes heureux de contribuer à ce dialogue.

Veuillez agréer, Mesdames, Messieurs, l’expression de ma considération distinguée.

Le commissaire,

Original signé par

Daniel Therrien

Date de modification :