Faire face aux atteintes à la vie privée : la protection de la vie privée et la sécurité en tant qu’écosystème

Commentaire lors de la Conférence sur l’accès à l’information et la protection des renseignements personnels dans la région des Maritimes de 2013

Le 18 juin 2013
Halifax (Nouvelle-Écosse)

Allocution prononcée par Chantal Bernier
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Aujourd’hui, je vous parlerai des atteintes à la vie privée dans le secteur public, du point de vue particulier du Commissariat à la protection de la vie privée du Canada.

Plus précisément, je situerai ces incidents dans le contexte plus vaste de l’écosystème de la sécurité de l’information.

Un écosystème est un ensemble qui regroupe des éléments complémentaires et leur environnement physique. La synergie qui relie ces éléments entre eux est tellement forte que la défaillance d’un élément entraîne la défaillance de tout le système.

C’est le cas pour l’écosystème de la sécurité de l’information, qui renferme les renseignements personnels dans le secteur public.

Je souhaite démontrer aujourd’hui à quel point il est essentiel que les organismes de réglementation et les institutions adoptent une vision holistique et écosystémique de la sécurité de l’information dans le secteur public pour protéger les renseignements personnels contre les atteintes et intervenir de façon appropriée en cas d’atteinte.

Dans mon allocution, je me pencherai sur trois points précis :

  • la structure de gouvernance particulière au sein de l’administration fédérale;
  • les différentes menaces pesant sur la sécurité des renseignements personnels, dont je ferai l’inventaire, et les stratégies d’évaluation et d’atténuation du risque de base qui permettent de neutraliser ces menaces;
  • la façon dont cela se traduit dans notre travail au Commissariat à la protection de la vie privée du Canada.

I. La structure de gouvernance particulière au sein de l’administration fédérale

La structure de gouvernance entourant les renseignements personnels au sein de l’administration fédérale — un écosystème en soi — constitue le premier point pertinent pour analyser la sécurité et la protection de la vie privée dans le secteur public.

Cette structure se compose de trois éléments de base :

  • les dirigeants des institutions gouvernementales, qui doivent respecter des obligations précises en vertu de la Loi sur la protection des renseignements personnels en ce qui a trait à la collecte, à la conservation, au retrait et à la protection des renseignements personnels, ainsi qu’à l’accès à ces renseignements;
  • le Secrétariat du Conseil du Trésor, qui doit fournir aux ministères des directives sur la façon de s’acquitter des obligations qui leur incombent en vertu de la Loi sur la protection des renseignements personnels;
  • le Commissariat à la protection de la vie privée, qui est chargé de surveiller la conformité à la Loi sur la protection des renseignements personnels.

Je commencerai par décrire le rôle de la commissaire à la protection de la vie privée, puis je passerai aux relations entre le Commissariat et les institutions gouvernementales.

La commissaire est un agent du Parlement

La commissaire à la protection de la vie privée du Canada est l’un des sept agents du Parlement. Les autres sont le vérificateur général, le directeur général des élections, le commissaire aux langues officielles, le commissaire à l’information, le commissaire à l’intégrité du secteur public et le commissaire au lobbying.

Ces sept agents relèvent du Parlement dans son ensemble et non du gouvernement. Comme l’a résumé de façon très éloquente le commissaire aux langues officielles Graham Fraser, chacun des agents du Parlement est « un protecteur des valeurs qui transcendent les objectifs politiques et les débats partisans du jour ».

Le Commissariat veille à l’application de la Loi sur la protection des renseignements personnels

Le rôle du Commissariat consiste à veiller à l’application de la législation fédérale en matière de protection de la vie privée, c’est-à-dire la Loi sur la protection des renseignements personnels, qui régit environ 250 organisations du secteur public fédéral, et la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, qui régit une grande partie de l’activité commerciale menée au Canada. Mon allocution d’aujourd’hui mettra l’accent sur le travail que nous faisons dans le secteur public sous le régime de la Loi sur la protection des renseignements personnels.

Nous exerçons nos activités au nom du Parlement et nous sommes tenus de lui rendre des comptes. Par conséquent, nous ne recevons aucune directive du gouvernement par l’intermédiaire du Bureau du Conseil privé ou du Secrétariat du Conseil du Trésor. Et notre rôle principal ne consiste pas non plus à donner une orientation aux ministères comme le ferait un organisme central. Nous publions des documents d’orientation, des fiches d’information, des bulletins d’interprétation et d’autres documents similaires, principalement pour exercer le mandat d’éducation du public qui nous incombe en vertu de la LPRPDE.

Nous nous acquittons de nos fonctions en effectuant des enquêtes, des vérifications et des examens des évaluations des facteurs relatifs à la vie privée, ainsi qu’en formulant des avis à l’intention du Parlement

Nous veillons à l’application de la Loi sur la protection des renseignements personnels en faisant enquête sur les plaintes. Au cours du dernier exercice, nous avons accepté près de 1 000 plaintes [plus précisément 986] sous le régime de la Loi sur la protection des renseignements personnels. Nous effectuons aussi des vérifications portant sur des questions systémiques.

De plus, nous examinons les évaluations des facteurs relatifs à la vie privée réalisées par les ministères et organismes au sujet des programmes qui nécessitent la collecte, l’utilisation, la communication ou l’élimination de renseignements personnels. Ce processus d’évaluation est régi par la Directive sur l'évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor.

Et, enfin, nous formulons des avis à l’intention du Parlement concernant les mesures législatives susceptibles d’avoir une incidence sur le droit à la vie privée des Canadiennes et des Canadiens. Pour ce faire, nous effectuons de la recherche — tant documentaire que technologique.

Les relations du Commissariat avec les autres institutions fédérales

Comme vous pouvez le constater d’après le résumé de nos activités, les relations que nous entretenons avec les ministères et organismes fédéraux sont assez limitées : elles se situent dans le cadre officiel d’une enquête, d’une vérification ou de l’examen d’une évaluation des facteurs relatifs à la vie privée, ou dans le cadre moins officiel d’une consultation portant sur une initiative susceptible de faire l’objet d’une évaluation des facteurs relatifs à la vie privée.

Le rôle du Secrétariat du Conseil du Trésor

Même si nous pouvons formuler des recommandations à l’intention des institutions fédérales, c’est le Secrétariat du Conseil du Trésor qui est généralement responsable de leur fournir les différents instruments de politique nécessaires pour gérer efficacement les ressources, y compris les renseignements qu’elles détiennent.

De façon générale, le Secrétariat du Conseil du Trésor est chargé d’appuyer une saine gestion dans l’ensemble des ministères fédéraux. Il y parvient notamment en élaborant et en tenant à jour une série de politiques conçues pour aider les administrateurs généraux à s’acquitter de leur rôle de gestionnaires des ressources publiques. De plus, le Secrétariat élabore des instruments — plus précisément des directives, des normes et des lignes directrices — pour aider les ministères à mettre en œuvre les politiques gouvernementales. La mise en œuvre de pratiques judicieuses de gestion des renseignements personnels est un principe directeur qui sous tend toute la série de politiques du Secrétariat.

II. Les menaces qui pèsent sur les renseignements personnels et les stratégies de gestion du risque

Dans la deuxième partie de mon allocution, je formulerai quelques observations au sujet des menaces qui pèsent sur les renseignements personnels dans le secteur public et des stratégies de gestion du risque efficaces dans l’optique de nos activités d’application de la Loi sur la protection des renseignements personnels.

Comme je l’ai mentionné dans mon introduction, la protection des renseignements personnels fait partie intégrante de l’écosystème de la sécurité de l’information. Pour assurer la sécurité des renseignements personnels, il faut donc déployer un assortiment de mesures liées à la technologie, à la sécurité physique, à la sécurité du personnel ainsi qu’aux politiques et aux procédures, et ce, en tenant compte du degré de sensibilité des renseignements visés.

Les choses étaient relativement simples quand les renseignements personnels figuraient uniquement dans des dossiers papier (je dis « relativement », car il y avait quand même parfois des fuites), mais le passage de la sécurité des biens à celle des supports numériques ne s’est pas fait sans heurt.

D’après les enquêtes que nous avons menées tant dans le secteur public que privé, il semble que nous souffrons d’un certain décalage : nous sommes passés au monde numérique sans comprendre vraiment tout ce que cela impliquait. En effet, selon un sondage réalisé par Knoll Advisory, 31 % des atteintes à la vie privée seraient attribuables à la complexité de la technologie de l’information (la TI).

Des employés qui, pour la plupart, n’ont pas grandi avec la TI, sont passés complètement au monde de la TI sans le comprendre pleinement.

Nous oublions parfois que des atteintes à la sécurité des renseignements sensibles avaient lieu avant la révolution de la TI. Des voleurs se sont emparés de porte-documents qui se trouvaient dans des véhicules égarés ou ont forcé des armoires de sûreté, des dossiers ont été égarés et des employés sans scrupules ont fouillé dans des dossiers auxquels ils n’auraient pas dû avoir accès. L’introduction d’un pirate informatique dans un réseau représente simplement une nouvelle façon d’avoir accès à des renseignements sans autorisation. Aujourd’hui, la grande différence tient à la quantité de renseignements qui peuvent être subtilisés à la suite d’une seule atteinte à la sécurité.

La technologie n’est pas en cause. Le problème, c’est que l’on n’évalue pas toujours les risques de façon adéquate et que la formation n’est pas toujours à la hauteur des énormes quantités de renseignements que nous pouvons maintenant stocker dans les médias numériques.

Cette mise en garde figure dans la recommandation no 20 que nous avons formulée à l’issue de notre vérification de 2010 sur l’utilisation des appareils sans fil dans certaines institutions fédérales sélectionnées. Nous avions alors conclu que les ministères devraient s’assurer que les employés sont conscients des risques d’atteinte à la vie privée inhérents à l’utilisation de ces appareils et formuler des lignes directrices pour les atténuer.

J’aimerais insister sur le mot « conscients ». D’après ce que j’observe dans notre travail, la prise de conscience est la première étape de la gestion du risque. Et pourtant, c’est une notion si vague et abstraite qu’on la tient pour acquise ou qu’on ne s’y attarde pas. Mais, à bien y penser, la prise de conscience du danger n’est-elle pas la première ligne de protection? N’est-ce pas précisément ce qui incite à gérer le risque?

Cette réflexion m’amène au plus grand risque dans l’écosystème de la protection des renseignements, soit l’élément humain. Je me permets de vous donner quelques exemples d’incidents qui nous ont amenés à formuler une série de conseils à l’intention des professionnels des ressources humaines.

  • Dans un cas, tous les candidats à un poste ont pris connaissance du nom des autres candidats parce qu’on l’avait indiqué dans le champ « À » au lieu du champ « Cci ».
  • Dans un deuxième cas, l’évaluation des compétences d’un directeur général a été envoyée par inadvertance dans un message électronique adressé à 321 personnes du même ministère.
  • Dans un troisième cas, un directeur général a envoyé à un employé une invitation dans un calendrier électronique pour discuter de « problèmes disciplinaires » sans tenir compte du fait que 17 personnes avaient accès à ce calendrier.

Ces trois incidents découlaient d’une erreur faite par un être humain, mais dans d’autres cas, c’est la nature même des êtres humains qui était en cause :

Dans un cas, une employée a consulté sans autorisation les renseignements médicaux d’un ancien amoureux.

Dans un autre cas, un employé a consulté sans autorisation les déclarations de revenus de célébrités.

Et je pourrais citer bien d’autres exemples.

La nature humaine est ce qu’elle est. Les règles et les systèmes de surveillance sont censés faire contrepoids. Et c’est pourquoi les ministères qui traitent de grandes quantités de renseignements personnels sensibles ont tendance à élaborer des séries entières de règles de protection des renseignements personnels qui s’ajoutent aux lignes directrices du Secrétariat du Conseil du Trésor.

Voyons maintenant les mesures systémiques les plus efficaces pour protéger les renseignements personnels au sein des organisations.

Je vous indiquerai aussi ce que nous disons aux organisations qui s’adressent à nous pour obtenir des conseils. Ces conseils peuvent être utiles aux organisations, quelle que soit leur taille et le secteur où elles évoluent. D’après nous, il est possible de les adapter à n’importe quel modèle de gestion et à n’importe quel contexte.

Élaborer des politiques et mettre en place une structure de gouvernance efficace pour les soutenir

Le premier conseil que nous donnons aux organisations est d’élaborer une politique de gestion des renseignements personnels qui correspond aux risques inhérents avec lesquels elles doivent composer.

L’élaboration de cette politique doit se faire de concert avec l’établissement d’une structure de gouvernance qui a le poids, la composition et le mandat voulus pour garantir efficacement la mise en œuvre d’instruments de politique. Par exemple, l’organisation doit déterminer si la haute direction rend suffisamment compte de la protection des renseignements personnels compte tenu des circonstances qui lui sont propres. Les responsables de la mise en œuvre des règles de protection des données ont-ils assez de poids au sein de l’organisation? La protection des renseignements personnels est-elle intégrée de façon adéquate à toutes les fonctions ministérielles ou est-elle perçue comme une fonction auxiliaire?

Dans le cadre de nos enquêtes sur les plaintes, tant dans le secteur privé que public, nous constatons souvent qu’une série d’incidents fâcheux aurait pu être évitée si on avait tout simplement appliqué les politiques en vigueur. Et le maillon manquant entre les règles et leur mise en œuvre est simplement la prise de conscience.

Ne sous-estimez jamais l’importance de la formation et l’incidence de la simple prise de conscience. Assez paradoxalement, l’une des conséquences positives des incidents d’atteinte à la sécurité des renseignements est la prise de conscience que cela crée chez les employés. Il s’agit de la première étape à franchir pour susciter le changement de culture nécessaire à l’apport de changements en ce qui a trait à la gestion du risque.

Les employés ont la responsabilité de respecter les politiques et les procédures en place — mais les gestionnaires ont la responsabilité de leur offrir la formation dont ils ont besoin pour le faire. Et cette formation doit être donnée de façon continue pour suivre le rythme des avancées technologiques.

Enfin, les organisations doivent se doter de mécanismes pour garantir la conformité. Dans certains cas, ces mécanismes comprennent la surveillance du rendement et l’application de mesures disciplinaires appropriées.

Chiffrer les données contenues sur les dispositifs portatifs

En plus d’une série de règles et de procédures visant à assurer la conformité aux mesures de protection des renseignements personnels, les mesures technologiques visent expressément à atténuer le risque découlant de la technologie.

La mesure technologique la plus évidente consiste à avoir recours au chiffrement des données contenues sur les dispositifs portatifs utilisés pour stocker des renseignements sensibles. Par « dispositifs portatifs », j’entends les clés USB, les disques durs portatifs, les cédéroms, les ordinateurs portables ou n’importe quel dispositif permettant de stocker de l’information et suffisamment petit pour qu’on le sorte du bureau.

L’interdiction d’utiliser des dispositifs de stockage portatifs pourrait vraisemblablement régler le problème, mais cette solution ne fonctionnerait pas pour toutes les organisations et dans tous les cas.

Bien encadrer l’accès

Une autre mesure technologique de protection consiste à encadrer l’accès aux renseignements sensibles.

D’une part, il est important de restreindre l’accès, par des mots de passe et des codes de chiffrement, aux seuls employés qui ont un besoin légitime d’accéder à des données particulières dans l’exercice de leurs fonctions.

Afin d’assurer la conformité aux règles d’accès, il est primordial de journaliser cet accès afin de s’assurer que les droits d’accès sont utilisés de manière responsable et de sévir en cas d’accès non autorisé. Je n’ai jamais eu à signer de rapports d’enquête à la suite de plaintes d’accès non autorisé contre votre ministère; je ne suis donc pas en mesure de commenter à ce sujet en ce qui vous concerne. Je signalerai cependant ceci : même les ministères qui ont un système de journalisation doivent assurer le contrôle de l’accès. Une fois que l’accès non autorisé a eu lieu, il est déjà trop tard pour la victime.

Malheureusement, partout au Canada, les commissaires à la protection de la vie privée notent un nombre inquiétant de cas d’accès non autorisé. Dans le secteur privé, un incident de cette nature vient de créer un précédent jurisprudentiel où une cour a accordé des dommages intérêts pour l’accès non autorisé par un employé aux renseignements figurant dans le compte d’un client.

Comme nous savons que vous avez déjà mis en place toutes ces mesures, cela nous ramène directement à l’élément humain : comment s’assure-t-on que le personnel comprend pleinement toutes les politiques, les procédures et les mesures de sécurité technologique, et qu’il s’y conforme.

III. Cas tirés des dossiers du commissariat

Nous avons reçu environ 860 plaintes en lien avec la perte d’un disque dur par Ressources humaines et Développement des compétences Canada (RHDCC).

Le 7 janvier 2013, le Commissariat a reçu un avis écrit officiel de RHDCC concernant la disparition d’un disque dur externe renfermant les renseignements personnels d’environ 583 000 clients du Programme canadien de prêts aux étudiants et de 250 employés du ministère.

En recevant cet avis, la commissaire adjointe a estimé qu’il y avait des motifs raisonnables pour que la commissaire dépose une plainte contre RHDCC en vue de vérifier si on avait contrevenu à la Loi sur la protection des renseignements personnels. Nous avons lancé une enquête sur le ministère le 11 janvier 2013.

En vertu du paragraphe 29(3) de la Loi sur la protection des renseignements personnels, la commissaire peut elle-même prendre l’initiative d’une plainte si elle a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la Loi. Pour déterminer s’il y a des motifs raisonnables de déposer une plainte, nous nous penchons sur les quatre grandes questions suivantes :

  • Y a t il de fortes chances qu’une enquête révèle une infraction à la Loi;
  • L’information laissant croire qu’il existe de fortes chances qu’une enquête révèle une infraction est elle digne de foi;
  • La plainte serait elle déposée de bonne foi;
  • L’existence de motifs raisonnables de déposer une plainte dans les circonstances a t elle été constatée de façon claire.

Notre analyse a confirmé que la commissaire avait des motifs raisonnables de faire enquête sur RHDCC car il y avait de fortes chances que ce ministère ait violé plusieurs dispositions de la Loi sur la protection des renseignements personnels.

Dans le cadre de notre enquête, nous nous pencherons sur le dossier sous l’angle de la conformité à la Loi sur la protection des renseignements personnels. Nous examinons actuellement les faits, la façon dont ils se sont produits et ainsi de suite. Cela dit, comme l’enquête est en cours, nous ne pouvons donner de détails précis pour le moment. Lorsque l’enquête sera terminée, la commissaire rendra public un rapport faisant état de ses conclusions et de ses recommandations.

Date de modification :