Une approche axée sur les risques pour la conformité et la responsabilité

Commentaires à l’occasion de la 35e Conférence internationale des commissaires à la protection des données et de la vie privée

Le 26 septembre 2013
Varsovie (Pologne)

Allocution prononcée par Chantal Bernier
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

C’est avec beaucoup d’enthousiasme que j’ai accepté de prendre part à cette discussion puisque, à l’instar de nombreuses autres autorités chargées de la protection des données, le Commissariat à la protection de la vie privée du Canada est en voie de mettre au point de nouvelles démarches pour ajuster ses mesures d’intervention à un contexte marqué par des risques sans précédent.

Pour situer les choses dans leur contexte, j’aimerais vous décrire ces risques exceptionnels en fonction de cinq points de pression, tels que nous les observons dans notre travail de tous les jours :

  1. Les menaces à la sécurité publique qui sont plus diffuses, passant d’entités bien définies telles des États à des personnes dispersées, ce qui aiguise l’appétit des États pour les renseignements personnels, lequel est soutenu d’autre part par une capacité de surveillance en pleine croissance. Cette réalité a une incidence certaine sur nos activités d’examen des évaluations des facteurs relatifs à la vie privée (EFVP).
  2. La tempête parfaite causée par la vulnérabilité des plateformes technologiques et l’immense potentiel de diffusion de données. Cette réalité nous amène à redéfinir notre réaction aux atteintes à la sécurité des données.
  3. L’expansion de l’activité criminelle impliquant la traite de renseignements personnels : bien que les taux de criminalité régressent de manière continue, notamment en raison de meilleurs dispositifs de sécurité physique, les criminels se tournent désormais vers la fraude sur Internet.
  4. La complaisance continue des détenteurs de données face à ces risques nous pousse à décrire plus clairement que jamais nos attentes envers eux.
  5. Et finalement, la diversité des menaces à la vie privée qui découlent de ces points de pression.

Afin de réagir de manière efficace à ces points de pression, le Commissariat canadien déploie des efforts afin de clarifier sa méthodologie, en vue de responsabiliser les détenteurs de données et de calibrer nos interventions de manière à tenir compte du nouveau contexte de gestion du risque à la vie privée.

Dans le présent exposé, je décrirai cette méthodologie. Compte tenu du temps qui nous est alloué, je me concentrerai sur nos démarches en matière d’examen des EFVP et au traitement des atteintes à la sécurité des données.

I.  LA DÉMARCHE AXÉE SUR LES RISQUES DU COMMISSARIAT

J’ai choisi de me concentrer sur les examens des évaluations des facteurs relatifs à la vie privée et sur le traitement des atteintes à la sécurité des données parce que chaque fonction fait ressortir une autre catégorie de risques :

  • les EFVP traitent des risques liés à la légitimité, ainsi qu’à la protection des données;
  • l’intervention en cas d’atteinte à la sécurité des données s’attaque de front aux risques liés à la protection.

1. Examens des EFVP

Au Canada, toute institution du gouvernement fédéral qui adopte une nouvelle initiative ou qui apporte à une initiative existante des modifications susceptibles d’avoir une incidence sur la protection de la vie privée doit nous soumettre une EFVP pour examen.

Les risques dont il est question dans ce contexte concernent à la fois les valeurs démocratiques et la protection des données personnelles, en particulier dans le cas des initiatives de sécurité nationale ou de sécurité publique. La situation évolue dans ce domaine, c’est pourquoi nous avons senti la nécessité de jeter les bases de l’évaluation et de la gestion des risques et de calibrer le risque des interventions. Par conséquent, nous avons publié un document de référence intitulé Une question de confiance : Intégrer le droit à la vie privée aux mesures de sécurité publique au 21e siècle, que nous utilisons pour examiner les EFVP et  les propositions législatives ou de politiques. Ce document divise l’évaluation des risques en quatre étapes :

  • Premièrement, nous remettons en question la légitimité : y a-t-il des preuves empiriques du fait que les mesures sont nécessaires, proportionnelles, susceptibles d’être efficaces et constituent l’option la moins envahissante?
  • Deuxièmement, nous vérifions si l’organisation a évalué les risques en matière de vie privée et adopté des mesures appropriées d’atténuation des risques.
  • Troisièmement, nous évaluons la responsabilité du programme, en particulier dans les cas de sous-traitance.
  • Quatrièmement, nous évaluons la surveillance : le cas échéant, nous demandons que les programmes soient assujettis à des structures d’examen externes, une « architecture protectrice » pour reprendre les termes de Daniel Solove, qui veillent à la mise en place de freins et de contrepoids appropriés.

Afin de calibrer nos actions en fonction des risques plus élevés :

a) Nous examinons les EFVP selon un ordre de priorité en fonction des facteurs suivants :

  • la probabilité que les risques pour la vie privée soient associés à l’un des quatre domaines prioritaires en matière de protection de la vie privée qui, selon le Commissariat, présentent les risques les plus élevés, à savoir la sécurité publique, les renseignements génétiques, les technologies de l’information et la gestion de l’identité;
  • le nombre de personnes qui seraient touchées;
  • le caractère délicat de l’information en jeu;
  • le degré d’intérêt des parlementaires, des médias et du public pour faire en sorte que nous répondions aux préoccupations des Canadiens.

b) Nous avons adopté un mécanisme de suivi de la mise en œuvre de nos recommandations.

c) Nous faisons rapport au Parlement sur nos principales conclusions.

d) Dans les cas qui présentent un risque élevé, nous effectuons une vérification pour garantir la conformité. Par exemple, après l’examen de l’EFVP du Programme de protection des passagers (« liste des personnes interdites de vol ») en 2007 et des scanners corporels en 2009, nous avons effectué des vérifications en 2009 et en 2011 pour vérifier la conformité.

2. Traitement des atteintes à la sécurité des données

En ce qui concerne les atteintes à la sécurité des données, nous nous concentrons sur les risques individuels pour la protection des données. Nous évaluons ces risques en fonction d’un cadre reposant sur trois grands piliers : 

1. protections physiques;

2. protections technologiques;

3. mesures administratives suffisant à éliminer les risques, notamment les politiques et procédures, les cadres redditionnels, la surveillance de la conformité, la formation du personnel, les lignes directrices sur la sous-traitance et les procédures d’intervention en cas d’atteinte.

Afin de calibrer notre intervention en cas d’atteinte à la sécurité des données, nous avons élaboré une démarche axée sur les risques qui s’inspire d’un modèle de cartographie du risque mis au point par Richard Thomas pour le Centre for Information Policy Leadership. Ce modèle regroupe d’autres modèles de risques, en particulier le guide très exhaustif produit par la Commission nationale de l'informatique et des libertés en 2012.

La cartographie du risque repose sur deux facteurs : l’impact et la responsabilité.

L’impact se fonde sur un préjudice possible pour les personnes. Il peut être tangible ou non.

La responsabilité fait référence au cadre de gouvernance de la protection des données.

Nous évaluons la gravité de l’atteinte sur une échelle allant de risque négligeable à risque grave, en examinant l’impact et la responsabilité séparément puis en calibrant notre intervention éventuelle en fonction d’une échelle pour chacun des facteurs :

  • Risque négligeable : la responsabilité est si solide qu’il est possible d’éliminer toutes les menaces identifiables et que les préjudices pour les personnes concernées sont peu probables;
  • Risque limité : la responsabilité est robuste, mais elle ne couvre pas la totalité des menaces identifiables, et il n’est pas très difficile de réparer les préjudices pour les personnes concernées;
  • Risque important : les cadres redditionnels n’éliminent que partiellement les menaces et les personnes concernées peuvent subir des préjudices importants;
  • Risque grave : les politiques et procédures de protection de la vie privée sont limitées ou inexistantes, et les personnes concernées peuvent subir des préjudices graves.

J’aimerais préciser deux choses :

  • En ce qui concerne l’évaluation de l’impact, nous ne nous penchons pas sur la matérialisation du préjudice. D’abord, parce qu’elle est très difficile à évaluer. On sait que les pirates informatiques conservent souvent l’information qu’ils ont volée pendant un long moment avant de l’utiliser, justement pour ne pas être liés à l’atteinte. Ensuite, parce que le simple fait de rendre les renseignements personnels vulnérables constitue un préjudice en soi.
  • En ce qui concerne la responsabilité, il faut tenir compte de l’intervention en cas d’’atteinte et des mesures de protection existantes au moment de l’atteinte : le détenteur des données démontre son degré de responsabilité à l’égard de la protection de la vie privée tant par la qualité de sa réaction à l’atteinte et la rapidité avec laquelle il y répond, que par la diligence dont il a fait preuve pour prévenir cette atteinte.

Selon notre évaluation des risques à partir de cette échelle, qui va de risque négligeable à risque maximal, nous calibrons nos interventions pour garantir un maximum d’efficience.

Voici quelques exemples concrets d’interventions allant d’interventions, disons, « souples » à d’autres plus « fermes ».

III. INTERVENTIONS FONDÉES SUR LA GESTION DU RISQUE

1. Fuites sur Internet

Après avoir pris connaissance d’études internationales faisant état de nombreux cas où les sites Web avaient transmis à des sites tiers les renseignements personnels d’utilisateurs sans avoir obtenu un consentement valable de l’intéressé, nous avons récemment examiné plusieurs sites Web canadiens très fréquentés pour déterminer si les « fuites sur Internet » posaient problème au Canada.

Nos technologues ont décelé des sources de préoccupation sur 11 sites. Nous avons observé des lacunes sur le plan de la transparence des politiques de protection des renseignements personnels et sur le plan technologique qui ouvraient la voie à la communication d’adresses de courriel, de noms et d’adresses physiques à des tiers annonceurs. En se fondant sur la cartographie des risques que j’ai décrite plus tôt, les lacunes sur le plan de la responsabilité et le préjudice potentiel causé aux personnes pourraient être décrites comme étant limitées.

Nous avons estimé que ce niveau de risque justifiait une forme d’intervention, que nous appelons « dialogue structuré ». Nous avons donc écrit une lettre aux différentes entreprises pour les informer des lacunes que nous avions découvertes et leur recommander des mesures correctives. Nous avons fermé les dossiers uniquement après que les responsables des sites Web nous eurent donné l’assurance que les mesures correctives avaient été mises en œuvre.

Le « dialogue structuré » convient aux situations où il y a un risque d’atteinte à la vie privée et un besoin de mesures correctives et où il est approprié en fonction du niveau de risque en cause et des objectifs que nous souhaitons atteindre.

Dans ce cas, nous avons assuré la conformité à un coût moindre pour les Canadiens et avec la pleine collaboration des détenteurs de renseignements.

2. LinkedIn

Le deuxième exemple que je vous donnerai est celui de l’évaluation du risque que nous avons menée en lien avec l’atteinte à la sécurité des renseignements personnels subie par LinkedIn en juin 2012.

Vous vous rappellerez sans doute que les serveurs de LinkedIn avaient été la cible d’une intrusion criminelle lorsque 6,5 millions de mots de passe ont été dérobés et affichés sur Internet. Nous avons considéré l’impact potentiel ainsi que la gestion du risque chez LinkedIn. Nous avons constaté certaines lacunes sur le plan des mesures de protection, mais LinkedIn est intervenue de manière exemplaire en réaction à cette atteinte et a fait preuve d’une grande ouverture avec nous.

Comme dans le cas des fuites sur Internet, nous avons jugé que toute lacune sur le plan de la gestion du risque et tout préjudice potentiel étaient limités.

Nous avons donc opté une fois de plus pour le dialogue structuré, mais en version augmentée, puisque nous avons déterminé que le préjudice potentiel aux personnes était plus sévère. Nous avons fait appel aux trois commissaires provinciaux qui ont compétence sur le secteur privé, soit la Colombie-Britannique, l’Alberta et le Québec. Nous avons formulé conjointement des recommandations quant aux mesures de protection des données, mais nous avons déterminé que la réaction de l’organisation à l’atteinte démontrait un niveau de responsabilité élevé, et aucune instance n’a mené d’enquête dans cette affaire.

LinkedIn a accepté nos recommandations et a d’ailleurs mis en œuvre des améliorations à ses mesures de protection pendant le cours de notre intervention.

3. WhatsApp

En comparaison, l’application de notre cartographie du risque a révélé un niveau de risque plus élevé chez WhatsApp tout juste avant notre intervention concertée avec l’autorité néerlandaise.

Vous savez peut-être que les autorités canadiennes et néerlandaises ont convenu, au début de 2012, de mener des enquêtes distinctes mais coordonnées sur WhatsApp, développeur établi en Californie qui vend une application de messagerie pour téléphone intelligent.

Nos préoccupations concernant WhatsApp nous ont amenés à mettre au jour plusieurs lacunes :

  • Les messages transmis, et par conséquent les renseignements qu’ils renfermaient, n’étaient pas cryptés.
  • Les utilisateurs devaient télécharger dans l’application leur carnet d’adresses entier, y compris les coordonnées de leurs contacts qui n’utilisaient pas WhatsApp.
  • Les mises à jour du statut d’un utilisateur étaient visibles par tous les utilisateurs de WhatsApp, et pas seulement par les contacts de celui-ci.

D’après la cartographie du risque, la défaillance de la gestion du risque – comme la transmission non cryptée des renseignements – serait considérée comme étant importante. De plus, la gravité du préjudice – comme le fait que le statut et l’emplacement d’une personne pourraient être diffusés à grande échelle – serait également considérée comme importante.

Dans ce cas, nous avons donc décidé de mener une enquête. Nous avons également rendu publique l’identité de l’entreprise en cause, comme nous le permet notre loi habilitante lorsque nous estimons qu’il est dans l’intérêt public de le faire. WhatsApp s’est engagée à mettre en œuvre nos recommandations.

4. Bureau en gros

En poursuivant cette progression d’interventions de la plus souple à la plus ferme, le dernier exemple que je vous propose est celui de la vérification que nous avons effectuée chez Bureau en gros, un détaillant de fournitures de bureau qui compte des franchises dans plusieurs pays.

Dans ce cas précis, nous avions déterminé dans le cadre de deux enquêtes distinctes que Bureau en gros avait revendu des ordinateurs sans avoir supprimé de manière convenable les renseignements appartenant aux propriétaires précédents.

À mon avis, la cartographie du risque indiquerait une possibilité de préjudice grave puisque le contenu entier de documents personnels a été communiqué, ce qui a rendu les renseignements très vulnérables. Les défaillances de la gestion du risque étaient graves, car l’entreprise n’exerçait pas une surveillance adéquate pour s’assurer que l’information stockée dans les appareils vendus d’occasion avait été effacée. En outre, la formation offerte aux employés à cet égard était insuffisante et, qui plus est, l’entreprise n’avait pas donné suite aux constats de violation découlant de la première enquête, ce qui a donné lieu à la deuxième.

Nous avons eu recours dans ce cas à notre intervention la plus musclée : nous avons effectué une vérification que nous avons rendue publique et avons obligé Bureau en gros à présenter, à l’intérieur d’un délai d’un an, un rapport faisant état d’une vérification effectuée par un tiers indépendant pour faire la preuve que l’entreprise avait mis en œuvre toutes nos recommandations.

Bureau en gros a respecté nos exigences. L’entreprise a présenté le rapport d’une vérification indépendante démontrant que toutes nos recommandations avaient été mises en œuvre.

CONCLUSION

Nous continuons à peaufiner notre méthode, mais en guise de conclusion, j’aimerais vous faire part de quelques observations préliminaires à propos de notre expérience jusqu’à ce jour :

  1. Pour revenir au premier point que j’ai abordé concernant les risques d’atteinte à la vie privée sans précédent, tant de par leur nature que leur ampleur, nous avons observé qu’un cadre d’évaluation des risques clairement défini établit le contexte de notre analyse d’une façon qui assure une démarche à la fois uniforme et adaptable vu l’évolution rapide du changement.
  2. La cartographie du risque nous permet de calibrer nos interventions sur le plan de la conformité en vue d’affronter une panoplie sans précédent de risques en matière de vie privée et d’ancrer cette démarche dans un processus de prise de décisions clair et transparent.
  3. En calibrant nos interventions en matière de conformité, nous sommes en mesure d’assurer la mise en conformité d’une façon plus stratégique tout en réduisant les coûts et les efforts connexes : j’ai parlé des fuites sur Internet et de LinkedIn, deux situations dans le cadre desquelles des mesures correctives ont été prises dans les semaines ayant suivi notre dialogue, mais j’aurais pu aussi parler de la chaîne de restauration rapide A&W qui a modifié sa politique de confidentialité dans les jours qui ont suivi la publication des résultats de notre ratissage pour la protection de la vie privée, intervention qui nous a pris moins d’une semaine.

Bref, pour résumer notre expérience à ce jour, je dirais que la cartographie du risque est une démarche qui illustre parfaitement le titre de cette conférence; vu l’évolution rapide et sans précédent des risques, elle constitue une boussole pour naviguer dans un monde turbulent.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :