Atteindre l'équilibre entre la protection de la vie privée et la cybersécurité

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires formulés lors de la Conférence du Conference Board du Canada sur la Cybersécurité : Protection proactive des systèmes et de l'information

Gatineau Québec
le 6 novembre 2008

Allocution prononcée par Jennifer Stoddart,
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Bonjour. Je tiens à remercier le Conference Board de m'avoir demandée de venir m'entretenir avec vous aujourd'hui.

Je suis ravie qu'on m'invite de plus en plus souvent à participer à des conférences sur la cybersécurité. La sécurité et la protection de la vie privée se rejoignent à plusieurs égards et pourtant – jusqu'à tout récemment – les spécialistes de chacun de ces domaines n'échangeaient pas de façon significative leurs idées respectives.

Il me semble que la communauté de la protection de la vie privée a réalisé récemment qu'il nous faut mieux comprendre les enjeux relatifs à la sécurité. Nous reconnaissons davantage l'importance cruciale de la sécurité depuis que sont survenues des atteintes graves à la protection des données, dont quelques-unes étaient l'œuvre de cybercriminels.

Au cours des dernières années, les univers de la protection de la vie privée et de la sécurité ont extrêmement évolué : les criminels se sont progressivement rendu compte qu'ils peuvent faire beaucoup d'argent en volant des noms, des dates de naissance, des numéros de cartes de crédit et d'autres renseignements personnels.

Dans le monde, la cybercriminalité est une devenue une activité commerciale  représentant un chiffre d’affaires de 105 milliards de dollars, selon David DeWalt, PDG de McAfee Inc., une entreprise de technologies de la sécurité. Ça représente plus que le trafic international de drogue!

Il appert que les bandits du cyberespace voient partout de bonnes occasions...

Tandis que nous nous inquiétions de la débandade de l'économie et de la fonte de nos REER, les cybercriminels se sont occupés à tirer profit des perturbations du marché financier. La Federal Trade Commission des États-Unis a récemment lancé un avertissement à l'effet que des escrocs – bien au fait de la crise hypothécaire – envoient des courriels hameçons par lesquels ils se font passer pour une institution financière qui aurait récemment acquis la banque ou l'hypothèque d'un consommateur.

Là où la protection de la vie privée et la sécurité se rencontrent

Notre objectif commun de protéger davantage les données sera plus facile à atteindre si nos deux communautés travaillent de concert et échangent de l'information et des idées – et encouragent conjointement l'élaboration d'un plan efficace et complet en matière de cybersécurité au Canada.

De nombreux enjeux constituent des points de rencontre de la protection de la vie privée et de la sécurité : l'application de la loi et la sécurité nationale, le commerce électronique et les télécommunications et, bien entendu, la protection des renseignements personnels.

Parfois – et je sais que vous venez de terminer une discussion sur les questions relatives à l'accès légal – il se crée des tensions entre le domaine de la protection de la vie privée et celui de la sécurité. Mais nous avons aussi d'importants objectifs et intérêts en commun.

Cet après-midi, j'aimerais vous faire part de quelques réflexions sur cette interaction. Je souhaite aussi proposer certaines méthodes qui nous permettraient de collaborer afin de mieux agir face aux cybermenaces.

Accès légal

Peut-être faudrait-il reprendre l'examen de la rencontre entre la protection de la vie privée et la sécurité là où nous l'avions laissé lors de la dernière réunion plénière : aborder les questions de protection de la vie privée selon le contexte de l'application des lois en matière de cybersécurité et de l'accès légal.

Vous savez que le gouvernement fédéral se penche depuis un certain temps sur la notion d'« accès légal » – d'éventuels changements qui feraient en sorte que la police pourrait obtenir plus facilement les renseignements personnels de clients de fournisseurs de service Internet et de compagnies de téléphone sans préalablement obtenir une ordonnance de la cour.

La Convention du Conseil de l'Europe sur la cybercriminalité (2001) a été l'un des principaux facteurs favorisant la mise à jour des dispositions en matière d'accès légal; le Canada l'a signée, mais ne l'a pas encore ratifiée. Quelque 23 pays d'Europe ainsi que les États-Unis ont ratifié la convention.

Des organismes chargés de l'application de la loi se sont plaints que certaines entreprises ont refusé – en l'absence d'un mandat – de fournir les renseignements de clients tels que le nom, l'adresse et le numéro de téléphone, ou les renseignements équivalents relativement à Internet. Ils avancent qu'il s'agit là d'une pierre d'achoppement des premières étapes d'une enquête.

À ce jour, cependant, nous ne connaissons aucun argument irréfutable – fondé sur des preuves empiriques – à l'effet que l'incapacité d'accéder à ces informations privées en temps opportun entraîne de graves problèmes pour les organismes chargés de l'application de la loi et de la sécurité nationale.

Nous nous opposons à ce que les entreprises soient forcées de fournir ce type de renseignements lorsque les organismes chargés de l'application de la loi et de la sécurité nationale les demandent sans mandat en main.

Certaines personnes considèrent ces renseignements personnels comme privés – elles paient un supplément pour que leur numéro ne soit pas inscrit à l'annuaire et ne donnent leur numéro de téléphone cellulaire qu'à leur famille et à leurs amis. Et l'un des grands attraits d'Internet, c'est l'anonymat.

En vertu de la LPRPDE, si une institution gouvernementale demande ce type de renseignements personnels, indique qu'elle a l’autorisation légitime pour le faire et confirme que la demande est faite à des fins d'application de la loi ou pour enquêter sur un crime, l'organisation peut fournir les renseignements demandés sans contrevenir à la loi.

Pour les organismes chargés de l'application de la loi, cela signifie que – dans la mesure où ils avaient autorité pour demander ce type de renseignements avant l'entrée en vigueur de la LPRPDE – la LPRPDE ne fait pas obstacle à cette autorité; ni ne constitue-t-elle une nouvelle base d'autorité ou un raccourci pour obtenir des renseignements sans mandat.

Quelques décisions rendues en droit criminel en Ontario indiquent le besoin de plus de clarté en ce domaine. Il semble que certaines personnes œuvrant à appliquer la loi aient adopté à tort la « demande en vertu de la LPRPDE » comme solution de rechange au mandat dans des circonstances où un mandat aurait dû être exigé. Le Commissariat continuera de surveiller ces cas et travaillera de concert avec les organismes chargés de l'application de la loi et les fournisseurs de service Internet afin de préciser les rôles de la LPRPDE dans ce contexte.

Le gouvernement fédéral a tenu quelques consultations publiques sur cette question. Nous suivront de près l'évolution des choses.

Répercussions des événements du 11 septembre

Les préoccupations accrues en matière de sécurité nationale depuis les attaques terroristes de septembre 2001 ont entraîné l'instauration de plusieurs nouvelles initiatives qui impliquent la collecte d'une quantité toujours plus grande de renseignements personnels.

Certaines de ces initiatives soulèvent d'importantes questions concernant les droits de la personne...

  • La législation sur le recyclage de l'argent et le financement des activités terroristes exige que les banques, les joailliers, les agents immobiliers, les avocats, les courtiers et les employés de casino communiquent certains renseignements au gouvernement – les transferts monétaires de plus de 10 000 $, par exemple –, mais aussi qu'ils signalent au gouvernement toute transaction qu'ils jugent douteuse.
  • En vertu d'un projet pilote de sécurité à l'aéroport de Kelowna, on demande aux voyageurs de se tenir devant un système d'imagerie qui traverse les vêtements et génère l'image d'un corps essentiellement nu.
  • Pendant ce temps, la liste des personnes interdites de vol a une incidence sur la protection de la vie privée et les droits connexes comme la liberté d'association et le droit de se déplacer librement. On dresse la liste en fonction de renseignements personnels gardés secrets, et une personne ne peut pas savoir à l'avance si son nom figure sur la liste.

Je comprends l'objectif qui sous-tend les programmes de sécurité. Nous souhaitons tous être en sécurité! Toutefois, je remets en question l'approche, l'efficacité, l'efficience ou la proportionnalité de certaines initiatives. On tend des filets en vue d'attraper des criminels et des terroristes, mais ces filets paraissent souvent surdimensionnés.

La rencontre de la protection de la vie privée et de la sécurité en ligne

Le monde virtuel fait émerger plusieurs autres enjeux relatifs à la protection de la vie privée et à la sécurité sur lesquels nos points de vue sont similaires.

D'autres conférenciers ont examiné en détail la façon dont les menaces en ligne évoluent et deviennent plus sophistiquées et mieux ciblées. Nous devons élaborer un plan d'action complet pour réagir aux menaces comme le vol d'identité, les pourriels et les atteintes à la protection des données.

Le vol d'identité

Durant la dernière session parlementaire, le gouvernement fédéral a présenté un projet de loi pour modifier le Code criminel de façon à lutter contre le vol d'identité.

Ce projet de loi est un premier pas considérable. Il crée de nouvelles infractions relatives à l'obtention, à la possession ou au trafic de documents d'identité ou d'information permettant l'identification. Les voleurs d'identité pourraient devoir rembourser leurs victimes pour les coûts encourus en raison de la fraude.

Mais il ne faut pas s'arrêter là. Le Commissariat continuera à exhorter le gouvernement à élaborer une vaste stratégie en matière de fraude reliée à l'identité.

Bien que plusieurs ministères et organismes fédéraux s'intéressent au vol d'identité, leurs efforts n'ont pas, jusqu'à maintenant, donné lieu à une stratégie concertée pour régler le problème. J'ai proposé que le gouvernement mette sur pied un bureau central ou un groupe de travail qui agirait à titre de coordonnateur.

La coopération transfrontalière entre autorités d'exécution de la loi doit être un élément central de la stratégie. Le vol d'identité est un crime sans frontières – présentement, les voleurs virtuels exploitent les défis juridictionnels liés à l'application de la loi.

La lutte au pourriel

Un autre élément important dans le casse-tête de la cybersécurité est la législation anti-pourriel. Le Canada est le seul pays du G-8 qui ne possède pas de loi en la matière – bien que ce fut la recommandation principale du Groupe de travail fédéral sur le pourriel.

Tous ceux qui possèdent une adresse courriel savent qu'il est difficile de gérer efficacement le problème du pourriel. Il y a des conséquences économiques au pourriel : ce dernier affecte la productivité et mine la confiance en le commerce électronique. Les voleurs d'identité recourent souvent aux pourriels pour lancer des attaques par hameçonnage – la plus récente profitant des craintes de forclusion d'hypothèques.

Je vous encourage vivement à joindre votre voix à la mienne pour rappeler au nouveau ministre de l'Industrie, Tony Clement, que le Canada a besoin d'une loi anti-pourriel.

Atteintes à la protection des données

J'ai parlé de quelques domaines clés où le gouvernement fédéral doit faire preuve de leadership. Mais les organisations aussi ont un important rôle à jouer – et là aussi, de plus grands efforts conjoints entre les communautés de la protection de la vie privée et de la sécurité aideraient grandement.

D'après ce que j'ai pu constater, les atteintes à la protection des données sont de plus en plus fréquentes. Les cas les plus graves – à la TJX, par exemple – impliquaient des cybercriminels.

L'une des raisons principales pour lesquelles ces atteintes se produisent, c'est que les entreprises sous-estiment le risque qu'elles surviennent.
C'est une attitude que nous observons dans les petites entreprises comme dans les grandes sociétés.

Dans le cadre de notre enquête sur TJX – propriétaire des magasins Winners et HomeSense – nous avons découvert que le géant du détail utilisait une technologie de chiffrement reconnue comme étant inadéquate. Il semble que les dirigeants de l'entreprise aient décidé de courir ce risque – leur plan pour passer à une technologie plus conforme avançait à pas de tortue. La suite, nous la connaissons...

Pour sa défense, TJX a affirmé avoir fait exactement comme plusieurs autres organisations. En effet, nous avons appris que plusieurs grands détaillants ne se conformaient pas aux normes de l'industrie des cartes de paiement, bien qu'on note une amélioration depuis l'incident à la TJX.

Je suis persuadée que plusieurs d'entre vous qui œuvrent dans le domaine de la sécurité sont conscients du risque grandissant que posent les cybercriminels. Mais pour garantir la sécurité, il faut généralement convaincre d'autres intervenants qui sont moins impliqués dans la protection des données personnelles que la menace est réelle et qu'il est avantageux d'investir dans la sécurité.

Gartner, l'entreprise de recherche en TI basée au États-Unis, indique qu'une entreprise qui possède plus de 10 000 comptes clients pourrait dépenser aussi peu que 6 $ par compte la première année en vue de chiffrer les données et jusqu'à 16 $ pour le chiffrement des données et des mesures de prévention des intrusions et de vérification de la sécurité au niveau de l'hôte. En comparaison, Gartner estime que chaque compte compromis coûte au moins 90 $ à l'entreprise. Une étude de l'Institut Ponemon avance que les coûts associés à une atteinte à la protection des données sont plutôt de l'ordre de 200 $ par compte.

L'analyse coût-avantages est plutôt aisée à réaliser!

Aux organisations qui soupèsent les risques d'atteinte à la protection des données en fonction des coûts d'un système de sécurité efficace, je préciserai qu'au Canada, la loi exige que les renseignements personnels soient adéquatement protégés. Ce n'est pas facultatif.

Mais de bons systèmes de sécurité ne constituent qu'une partie de la solution. Plusieurs autres leçons valables tirées de l'incident chez TJX confirment la « règle d'or » de la protection de la vie privée : limiter la collecte, l'utilisation, la communication et la conservation des renseignements personnels et recourir à des mécanismes de sécurité adéquats. Respecter ces principes relatifs à l’équité dans le traitement de l’information permettra d'améliorer la sécurité et de réduire considérablement le risque d'atteinte à la protection des données.

Les premières étapes pour la mise en œuvre des principes relatifs à l’équité dans le traitement de l’information consistent à analyser d'un œil critique les renseignements personnels qu'on recueille, pour ensuite cesser la collecte des renseignements qui ne sont pas absolument nécessaires. Un récent blogue du Wall Street Journal faisait valoir que le nouveau leitmotiv de l'industrie des cartes de paiement est « ne conservez que ce que vous utilisez ». Pour ma part, j'ajouterais : si des renseignements personnels vous sont utiles, reconnaissez leur valeur et protégez-les de manière adéquate.

Les cybercriminels ne peuvent pas voler des renseignements personnels que vous n'avez pas recueillis. Et ils auront moins de chance de voler ceux que vous recueillez si vous ne les conservez pas trop longtemps.

Un dernier point concernant la prévention des atteintes à la vie privée : formez régulièrement les employés sur les politiques en matière de protection de la vie privée et de sécurité. C'est très contrariant de voir survenir aussi souvent des atteintes à la protection des données parce que quelqu'un a ignoré les politiques en place.

Notification en cas d'atteinte à la vie privée

Je m'attends à ce qu'on voie, dans un proche avenir, un nouveau facteur de motivation pour les organisations qui envisagent des dépenses en matière de sécurité : la notification obligatoire en cas d'atteinte à la protection des données.

Je suis sûre que vous avez entendu dire que le gouvernement fédéral travaille à un projet législatif, lequel exigerait que les entreprises avisent les gens en cas de fuites de données qui comporteraient un « sérieux risque de torts considérables ».

Richard Simpson, qui mène les travaux d'Industrie Canada sur la notification en cas d'atteinte à la vie privée, nous parlera sans doute de façon plus détaillée des changements prévus après le lunch. Dans l'ensemble, je suis satisfaite de la direction qu'Industrie Canada a prise.

En l'absence de loi exigeant la notification, le Commissariat – en consultation avec l'industrie et des groupes de consommateurs – a élaboré l’année dernière des lignes directrices facultatives sur la notification en cas d'atteinte à la vie privée. La Nouvelle-Zélande a adopté ces dernières.

Le problème avec les lignes directrices facultatives, c'est qu'elles sont, justement, facultatives! Si nous avons remarqué une augmentation du nombre de cas  signalés de façon volontaire depuis la publication des lignes directrices l'année dernière, il est évident que nous ne sommes pas mis au courant de toutes les fuites de données qui surviennent.

L'obligation de rendre compte signifierait que tout le monde joue selon les mêmes règles. Cela nous permettrait aussi de recueillir de l'information sur ce qui cause ces atteintes à la vie privée et sur les façons de les prévenir. Plusieurs pays sont en voie de rendre obligatoire la notification en cas d'atteinte à la vie privée.

J'apprécierais grandement votre soutien en faveur du signalement obligatoire.

Une stratégie en matière de cybersécurité

J'ai abordé plusieurs points en peu de temps. Je crois que les propos tenus à cette conférence ont prouvé que la cybersécurité est un problème extrêmement complexe et qu'il n'y a pas de solution simple.

Pour poursuivre, je crois que le Canada a besoin de se doter d'une stratégie nationale détaillée pour faire face au défi de plus en plus important que constituent les menaces en ligne.

D'ailleurs, le gouvernement fédéral en parle depuis plusieurs années. Un récent rapport médiatique indique qu'on verra paraître au cours des prochains mois les détails d'une stratégie en matière de cybersécurité. Le Commissariat est impatient à l'idée de participer aux consultations qui s'ensuivront.

Plusieurs pays ont déjà instauré des stratégies en matière de cybersécurité, y compris les États-Unis, l'Australie, le Royaume-Uni et... l'Estonie (la nouvelle stratégie du pays balte a vu jour suite à une série d'attaques par refus de service qui ont forcé la fermeture des FAI et empêché les Estoniens d'effectuer des transactions bancaires ou d'acheter des produits essentiels comme la nourriture et de l'essence pendant plusieurs jours).

Une stratégie en matière de cybersécurité contribuerait à réunir divers acteurs. Elle pourrait servir de tremplin pour des stratégies créatives et des lois avant-gardistes.

Au cours des derniers mois par exemple, nous avons été témoins d'intéressantes modifications législatives aux États-Unis.

Le Massachusetts et le Nevada ont adopté des lois selon lesquelles les entreprises qui recueillent des renseignements personnels au sujet de résidents de l'État seront tenues de chiffrer les données sensibles conservées sur des supports portatifs comme les ordinateurs portatifs, les Blackberry et les téléphones cellulaires.

À l'échelle nationale, le président Bush a ratifié le mois dernier un projet de loi visant à faciliter la tâche des procureurs qui poursuivent les cybercriminels.

Les États-Unis ont également adopté un « Red Flag Rule » – de nouvelles exigences visant à ce que les institutions financières et autres créanciers adoptent des politiques en matière de vol d'identité. Les organisations doivent instaurer des politiques pour discerner des comportements ou des activités susceptibles d'être associés au vol d'identité. Elles doivent également mettre sur pied un plan d'action pour ces situations.

Tandis que certains pays agissent, le Canada continue de parler d'action. Nous devons progresser plus rapidement sur cette question.

À l'échelle internationale

Un autre élément crucial pour avancer dans la lutte contre la cybercriminalité est la coopération internationale. Comme le problème est d'ordre mondial, il nécessite des solutions mondiales.

L'Organisation de coopération et de développement économiques (OCDE) joue un rôle de premier plan dans l'élaboration de solutions mondiales aux problèmes de protection de la vie privée et de sécurité. J'ai eu l'honneur de travailler au sein du Groupe de travail de l'OCDE sur la sécurité de l'information et la protection de la vie privée. Les efforts du groupe de travail visent à garantir que la circulation internationale de l'information, le moteur de l'économie Internet, soit protégée adéquatement.

Nous faisons également des progrès en ce qui a trait à la résolution ministérielle de l'OCDE (1998) visant à jeter des ponts entre les différentes approches des pays membres afin d'assurer la protection de la vie privée au plan des réseaux mondiaux. La recommandation de l'OCDE relative à la coopération transfrontière dans l'application des législations protégeant la vie privée, laquelle a été adoptée l'an dernier, est un pas dans la bonne direction. Mais il reste beaucoup à faire.

Dans l'intervalle, l'Organisation de coopération économique de la Zone Asie-Pacifique (APEC) met en œuvre le cadre de protection de la vie privée de l'APEC, lequel fournit une orientation claire aux entreprises des économies membres de l'APEC sur les enjeux communs en matière de protection de la vie privée.

Conclusion

J'espère que j'aurai réussi à rendre l'esprit de communauté qu'on dénote dans les actions de la communauté de la protection de la vie privée et de celle de la sécurité, lesquelles visent les mêmes objectifs dans bien des domaines. Nous les atteindront plus rapidement en travaillant ensemble.

J'ai mentionné plus tôt que l'incident survenu à la TJX était un exemple éloquent d'une défaillance de la sécurité ayant une incidence considérable sur les renseignements personnels. Mais nous pouvons aussi en tirer une leçon positive.

Suite à l'atteinte à la protection des données, les représentants de TJX ont reconnu qu'il était possible d'améliorer la protection des données en défendant une relation plus étroite entre la protection de la vie privée et la sécurité.

TJX a nommé un chef de la protection de la vie privée. L'entreprise a également créé un comité directeur sur la gestion de l'information et élabore un programme de sécurité et de protection des renseignements personnels pour toute l'entreprise.

Comme quoi on peut traiter simultanément les questions de protection de la vie privée et de sécurité à l'échelle d'une organisation.

La protection de la vie privée et la sécurité doivent aussi travailler de concert sur des enjeux plus vastes de l'industrie.

En trouvant un terrain d'entente et en cherchant conjointement des solutions, nous pourrons réaliser de réels progrès dans notre lutte contre la cybercriminalité. Avec un peu de chance, la stratégie du Canada en matière de cybersécurité fournira un cadre adéquat pour ce type de coopération.

Les escrocs du cyberespace ont un peu d'avance sur nous. Pour les dépasser, nous devons poursuivre notre collaboration. Un partenariat sécurité/protection de la vie privée en accomplira davantage quand il s’agit de faire face aux menaces émergentes dans l'univers virtuel.

Date de modification :