Faire passer les cadres de gestion des risques au niveau supérieur

Commentaires à l’occasion de l’atelier Responsabilité, phase V : les éléments essentiels de l’évaluation du risque

Le 9 mai 2013
Toronto (Ontario)

Allocution prononcée par Chantal Bernier
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Comment le Commissariat à la protection de la vie privée du Canada s’y prend il pour concevoir le risque?

J’aimerais commenter le cadre proposé par le Centre for Information Policy Leadership (CIPL) en trois temps : je commencerai par formuler des commentaires généraux au sujet de l’évaluation de la responsabilité liée à la gestion du risque, j’appliquerai ensuite le cadre proposé par le CIPL aux dossiers du Commissariat pour lesquels la gestion du risque lié à la protection des données constituait un enjeu primordial, et je terminerai en faisant état de quelques conclusions au sujet du caractère pratique du cadre à la lumière de son application à ces cas concrets.

Mes commentaires généraux sont donc les suivants.

Le premier concerne la pertinence du cadre : les risques ont changé et continuent de changer de façon si fondamentale et si rapide que les détenteurs de données semblent incapables de s’y adapter.

  • En ce qui concerne le secteur public, le gouvernement du Canada vient de rendre public un rapport indiquant que plus de 3 000 atteintes à la protection des données avaient eu lieu au cours des 10 dernières années. Ces atteintes ont eu des répercussions sur plus de 725 000 Canadiennes et Canadiens et leur nombre n’a été rendu public qu’après qu’un député de l’opposition ait fait inscrire la question au Feuilleton. Cette première annonce a été suivie d’une seconde, qui décrivait des mesures de protection améliorées.
  • En ce qui concerne le secteur privé, la dernière enquête que nous avons effectuée auprès des entreprises (en 2011) a révélé que seulement 26 % des répondants avaient mis en place des politiques ou des procédures pour évaluer les risques pour la vie privée de leurs activités (notamment en ce qui a trait à l’évaluation des risques pour la vie privée associés à la conception ou à l’utilisation de nouveaux produits ou de nouvelles technologies). Nous avons aussi constaté que, même chez les entreprises ayant mis en place de telles politiques ou procédures, ou dont on s’attendrait normalement à ce qu’elles le fassent, l’existence d’un éventail de lacunes témoignant d’une négligence ou d’une certaine complaisance.

Il m’apparaît donc évident que le cadre est d’une grande pertinence dans nos efforts pour nous attaquer à un problème répandu.

Mon deuxième commentaire porte sur la détermination du risque. Le cadre proposé porte, à juste titre, sur les risques tangibles et les risques non tangibles, comme les risques moraux concernant les particuliers et les risques liés aux valeurs démocratiques. Les détenteurs de données ont tendance à négliger les risques non tangibles et leur permettre de continuer à le faire entraînerait la perte de l’essence même du droit à la vie privée.

Je me contenterai, pour l’instant, d’insister sur l’importance de ne pas perdre de vue les risques moraux en citant les propos de Daniel Solove, qui vont comme suit :

« [...] le problème avec les bases de données et les pratiques connexes actuelles, c’est que les personnes sont impuissantes. Elles rendent les gens vulnérables en les empêchant d’exercer un contrôle sur leurs renseignements personnels. [traduction] » (Daniel Solove, The Digital Person: Technology and Privacy in the Information Age)

Comment le Commissariat s’y est il pris pour cerner et aborder les questions récentes liées à la gestion des risques?

Je vais vous présenter des cas qui se rapportent au secteur privé, parce que c’est ce dont nous discutons aujourd’hui, mais l’approche de gestion des risques que je vais vous décrire s’applique également au secteur public.

J’utiliserai trois exemples qui vont, en ordre d’importance, des manquements les moins graves aux plus graves, si je puis dire, en matière de gestion des risques, auxquels j’appliquerai le cadre proposé par le CIPL.

Le premier cas que j’utiliserai comme exemple est celui de l’atteinte à la protection des données survenue chez Sony en 2011.

Nous avons appris, grâce aux reportages diffusés par les médias, qu’il y avait eu une atteinte importante. Nous avons réuni des technologues, des avocats et des enquêteurs et leur avons confié la mission d’établir les faits : Que s’était il passé? Les mesures de protection étaient elles appropriées? Y avait il des motifs raisonnables de croire qu’il y avait eu infraction à la Loi?

Nos technologues ont consulté des sources d’information publiques ainsi que des technologues associés à d’autres autorités chargées de la protection des données. Ils ont constaté que Sony menait déjà sa propre enquête sur les événements, que l’affaire avait été confiée aux forces de l’ordre, que rien n’indiquait que des renseignements personnels comme des données financières n’avaient été rendus publics, et que les numéros des cartes de crédit avaient été protégés au moyen d’un algorithme de hachage plutôt que cryptés. Toujours en examinant l’information diffusée par des sources publiques, nous avons constaté que les particuliers touchés subissaient simplement des désagréments et que Sony avait mis en place des politiques et des procédures, mais que celles ci ne tenaient pas compte de toutes les menaces possibles. Selon le cadre du CIPL, la gravité de l’incident serait « négligeable » et la probabilité serait « limitée ».

Notre analyse juridique nous a permis de conclure qu’il n’existait pas suffisamment d’éléments de preuve indiquant que le risque avait été géré de façon inappropriée pour justifier le dépôt d’une plainte par la commissaire. Je sais que le Commissariat à l’information du Royaume Uni est parvenu à une conclusion différente, mais nous avons déterminé, pour notre part, que la meilleure approche consisterait à effectuer un suivi de la situation.

Le deuxième cas que je citerai en exemple est celui de l’atteinte à la protection des données survenue chez LinkedIn en 2012 et qui a pris la forme du vol et de l’affichage en ligne des mots de passe de 6,5 millions d’utilisateurs. Une fois encore, nous avons réuni des technologues, des enquêteurs et des avocats. Dans ce cas, cependant, les faits dégagés nous ont permis de constater que des renseignements personnels avaient été rendus publics et qu’il existait certaines lacunes en matière de gestion des risques, en particulier en ce qui a trait aux mesures de protection. Selon le cadre du CIPL, la gravité de l’incident serait « limitée » et la probabilité serait « importante ».

Nous avons encore une fois adopté la position, fondée sur une analyse juridique, selon laquelle il n’existait pas de motifs suffisants pour justifier le dépôt d’une plainte par la commissaire, mais nous nous devions tout de même d’intervenir. En collaboration avec les commissaires de la Colombie Britannique, de l’Alberta et du Québec, nous avons entamé un dialogue structuré avec LinkedIn dans le cadre duquel l’entreprise nous a, en toute confidentialité, décrit exactement la situation qui prévalait avant l’atteinte ainsi que les efforts qu’elle avait déployés à la suite de l’atteinte. Les quatre commissaires ont rédigé une lettre commune dans laquelle ils formulaient des recommandations précises à l’entreprise en ce qui a trait à la gestion du risque en matière de protection des données. Nous avons constaté que LinkedIn était intervenue promptement à la suite de l’atteinte et qu’elle avait collaboré pleinement avec les Commissariats. Nous considérons par conséquent que l’affaire est close.

Mon troisième exemple concerne WhatsApp, l’une des plus populaires applications de messagerie pour téléphone intelligent, qui a été téléchargée et qui est utilisée par des millions d’abonnés partout dans le monde. Nous n’avions entendu parler d’aucune atteinte, mais nous nous préoccupions tout de même de la gestion des risques en ce qui a trait à la protection des données au sein de cette entreprise. Les principaux risques relevés dans le cadre de notre enquête étaient les suivants : les messages envoyés au moyen de l’application n’étaient pas cryptés, le contenu intégral du carnet d’adresses d’une personne — renseignements personnels des utilisateurs et des non utilisateurs inclus — devait être téléchargé par WhatsApp, et les mises à jour du statut de l’utilisateur étaient visibles par tous les utilisateurs de WhatsApp — et pas seulement par les contacts de l’utilisateur.

Dans ce cas, selon le cadre du CIPL, la gravité serait au moins « importante », compte tenu du fait que le lieu où se trouvait l’utilisateur était diffusé à grande échelle, et la probabilité serait au moins « importante », compte tenu du fait que les messages n’étaient pas cryptés, que la politique de confidentialité n’était pas claire et que des données concernant des non utilisateurs étaient conservées. Nous avons conclu qu’il existait des motifs suffisants pour mener une enquête, ce que nous avons fait en collaboration avec l’autorité chargée de la protection des données des Pays Bas dans le cadre de la toute première enquête conjointe en matière de protection des renseignements personnels à l’échelle internationale. L’enquête a été conclue plus tôt cette année et WhatsApp a amorcé la mise en œuvre de nos recommandations.

Nous avons ensuite été informés, le 26 avril, de l’atteinte concernant LivingSocial. Nous ne savons pas encore quelle forme prendra notre intervention dans cette affaire, mais nous appliquons le cadre du CIPL pour structurer notre analyse.

III. Conclusions au sujet de la comparaison des résultats obtenus au moyen du cadre de gestion des risques du CIPL et des positions adoptées par le Commissariat

En bref,

  • La grille de détermination du risque correspond à notre approche d’évaluation : plus le résultat lié au risque était élevé, et plus notre niveau d’intervention l’était; par conséquent, nous sommes d’avis que le cadre est pertinent d’un point de vue pratique;
  • Nous avons choisi de mettre la grille de détermination du risque à l’essai en l’appliquant à notre analyse d'une atteinte récente. Nous avons constaté qu’elle nous avait permis de mieux structurer notre évaluation de la gestion du risque et de faire preuve d’une plus grande objectivité.
  • Il y a deux aspects pour lesquels la grille de détermination des risques pourrait nous être plus utile :
    • Premièrement, elle pourrait intégrer les risques moraux et non tangibles, comme les risques pour les valeurs démocratiques. Elle s’appliquerait à la fois au secteur public et au secteur privé, en ce qui a trait, par exemple, à ce que Daniel Solove définit comme le phénomène d’impuissance engendré par l’établissement et l’utilisation de vastes bases de données, ainsi que dans le contexte de la surveillance sur Internet; à mon avis, ces facteurs devraient apparaître dans la grille de détermination des risques, sous la gravité « grave », avec des sous catégories allant de « négligeable » à « grave » en ce qui a trait à la probabilité, tout dépendant du niveau d’intrusion.
    • Deuxièmement, la question du niveau de protection pouvant être espérée en ce qui concerne les cyberattaques n’a pas encore été résolue; dans l’affaire concernant Sony, nous nous sommes demandé, au moment de décider jusqu’où aller, si la cybersécurité constituait une obligation de résultat ou une obligation de moyens. Les technologues ont été très clairs : il ne peut s’agir, de façon réaliste, que d’une obligation de moyens. Nous pouvons seulement demander à l’organisation de faire tout ce qu’elle peut raisonnablement faire pour protéger l’information. Or, sous « probabilité », la grille de détermination des risques ne prévoit rien pour les cas où les politiques et les procédures en place sont adéquates et où l’organisation a simplement été victime d’une attaque très puissante. Sous « probabilité négligeable », il est question de « Menaces à l’intégrité ou à la qualité des données qui semblent impossibles ou très peu probables ». S’agit il d’un objectif trop élevé? Dans les faits, le terme « cybersécurité » devrait être remplacé par le terme « cyberrésilience » et nous devrions envisager qu’il pourrait y avoir des situations où la gravité serait importante, voire grave, alors que la probabilité ne témoignerait d’aucune faiblesse sur le plan de la gestion des risques. Peut être serait il préférable d’ajouter une autre catégorie de risque, se rapprochant des concepts de « force majeure » ou de « fait de Dieu » qui sont utilisés dans le domaine du droit de la responsabilité, pour laquelle le degré de probabilité serait « 0 » ou une préface dans laquelle seraient exclus les cas de « force majeure ».
  • Cela dit, le cadre constitue un outil permettant aux organismes de réglementation d’assurer une plus grande uniformité et aux entreprises de se conformer aux lois pertinentes
Date de modification :