Cybersécurité et protection de la vie privée : des objectifs qui se renforcent mutuellement à l’ère numérique

Commentaires devant le Groupe de travail portant sur la messagerie, les logiciels malveillants et la lutte contre l’abus mobile (M3AAWG)

Le 23 octobre 2013
Montréal (Québec)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Notre mission commune

Je suis très heureuse d’avoir été invitée à prendre la parole ici devant vous, que je considère comme mes compagnons d’armes. J’utilise intentionnellement ce terme militaire, parce que je crois que nous sommes effectivement des alliés sur la ligne de front d’une bataille très importante qui se déroule à l’heure actuelle au Canada, voire partout sur la planète. Dans cette bataille, nous nous attachons à protéger les renseignements personnels dans le monde du commerce tout en militant pour la cybersécurité. Vous êtes certainement les dernières personnes que j’ai besoin de convaincre que la cybersécurité constitue un défi de taille auquel nous sommes tous confrontés, que nous travaillions dans le domaine des télécommunications, du droit, de l’application de la loi ou de l’informatique.

Et le défi est le même dans le domaine de la protection de la vie privée et des données.

Plus la quantité de renseignements personnels traités et entreposés dans le cyberespace augmente et plus la protection de la vie privée repose sur la mise en œuvre efficace de mesures de cybersécurité par les organisations. En effet, sans cybersécurité, le droit à la vie privée en ligne est à tout le moins fragile et loin d’être garanti. Par ailleurs, les lois sur la protection des données ont renforcé l’importance de la cybersécurité.

Pour l’essentiel, nos rôles se renforcent mutuellement. Comme l’a dit autrefois le président Kennedy à propos de la relation entre les États-Unis et le Canada, «nous sommes alliés par nécessité ».

Le Commissariat à la protection de la vie privée du Canada est de plus en plus conscient de la relation d’interdépendance qui existe entre la protection de la vie privée et la cybersécurité. Cette prise de conscience se manifeste par l’expansion constante de notre laboratoire d’essai de pointe, où nous mettons à l’essai des applications populaires et des éléments de publicités en ligne de tiers pour détecter les fuites de renseignements personnels. Et nous renforcerons encore davantage notre capacité de soutien technologique en prévision de l’entrée en vigueur de la loi canadienne anti-pourriel. Mais le gouvernement doit d’abord mettre la dernière main aux règlements et nous avons bon espoir qu’il pourra bientôt passer aux étapes suivantes.

Le Commissariat a en outre accru sa participation aux discussions du M3AAWG, là encore en reconnaissance de nos rôles qui se renforcent mutuellement.

Il me semble approprié de dire quelques mots au sujet du Commissariat à la protection de la vie privée lui-même. Notre organisme a été créé il y a plus de 30 ans, au moment des premiers balbutiements de la Loi sur la protection des renseignements personnels, qui vise à protéger les renseignements personnels concernant les citoyens qui sont détenus par les institutions fédérales. En outre, le Parlement du Canada a adopté, il y a plus de 10 ans, la Loi sur la protection des renseignements personnels et les documents électroniques, aussi appelée LPRPDE.

La LPRPDE est une loi de portée générale sur la protection des renseignements personnels dans le secteur privé qui s’applique à toute organisation menant des activités commerciales. Elle définit des règles de base pour la gestion des renseignements personnels et donne au Commissariat le mandat de surveiller la conformité et de faire enquête sur les plaintes.

Au Canada, les provinces ont elles aussi la capacité de légiférer en ce qui a trait aux renseignements personnels des consommateurs, et trois d’entre elles, y compris le Québec, où nous nous réunissons aujourd’hui, ont choisi de le faire. Toutefois, même dans ces trois provinces, la LPRPDE s’applique encore à des domaines du secteur privé qui sont réglementés par le gouvernement fédéral, notamment les services bancaires, le transport et, ce qui revêt sans doute un intérêt particulier pour vous, les télécommunications. Un objectif clé des lois sur la protection de la vie privée dans le secteur privé, comme la LPRPDE, consiste à donner aux consommateurs l’assurance que leurs renseignements personnels sont traités de façon adéquate quand ils font des affaires, que ce soit avec un commerce ayant pignon sur rue ou un cybercommerce.

Défis en matière de protection de la vie privée découlant d’une numérisation toujours plus grande de la société et de l’économie

Compte tenu de l’omniprésence des écosystèmes électroniques modernes, il devient de plus en plus difficile de garantir aux consommateurs que leurs renseignements personnels sont traités comme il se doit. Pour évaluer l’ampleur de cette omniprésence, il suffit de savoir que la moitié des communications téléphoniques au Canada se font maintenant sans fil et que les Canadiens envoient plus de 270 millions de messages textes par jour.

Un grand nombre des défis auxquels nous devons actuellement faire face en ce qui a trait à la protection de la vie privée découlent du rythme affolant des avancées technologiques. Dans leur empressement à lancer des produits et des services sur le marché, certaines organisations n’ont même pas conscience des problèmes de protection de la vie privée.

Et tandis que les organisations trouvent de nouvelles façons de tirer parti des renseignements personnels, les risques d’atteinte à la protection de la vie privée augmentent de façon exponentielle.

En tant que conducteurs, nous savons tous que plus la circulation est dense sur l’autoroute et plus nous risquons d’avoir un accident. De même, le volume croissant des opérations effectuées sur Internet et des renseignements qui y sont sauvegardés entraîne un risque plus élevé d’attaques malveillantes et une plus grande vulnérabilité si les politiques en matière de sécurité ne sont pas suffisamment strictes.

La collecte d’un volume aussi important de renseignements personnels par autant d’organisations augmente l’ampleur des atteintes à la sécurité des données. Pour ne citer qu’un seul exemple, en juin de l’an dernier, LinkedIn s’est fait voler près de 6,5 millions de mots de passe d’utilisateurs, qui ont ensuite été affichés en ligne. L’entreprise a pris ses responsabilités et réagi rapidement, mais l’atteinte a révélé l’existence de faiblesses dans ses systèmes de sauvegarde de l’information.

Préoccupations croissantes des consommateurs et cyberattaques plus sophistiquées

Les Canadiens se préoccupent bien entendu de la sécurité des renseignements personnels les concernant qui sont détenus par le secteur privé. Selon les résultats d’un sondage d’opinion réalisé pour le compte du Commissariat en novembre dernier, presque tous les répondants (97 %) souhaiteraient être informés de la perte, du vol ou de la divulgation involontaire des renseignements personnels les concernant détenus par une organisation.

Toutefois, près de six répondants sur dix pensent qu’on ne les avertirait probablement pas en pareil cas. Ce pessimisme est justifié, puisque la LPRPDE n’oblige pas les organisations à aviser le Commissariat ou les consommateurs concernés des atteintes à la sécurité des renseignements personnels. Cela est vrai même dans le cas d’atteintes importantes comportant un risque de préjudice grave pour les individus.

L’expression de ce double sentiment d’inquiétude et de pessimisme de la part des citoyens devrait sonner l’alarme pour les dirigeants du secteur des TI et les intervenants de première ligne. Le préjudice que peut subir l’image de marque des organisations en raison des atteintes à la sécurité des données est important et il va en augmentant. Ce seul facteur devrait inciter les organisations à faire de la cybersécurité et de la responsabilité une plus grande priorité organisationnelle.

Comme si cela n’était pas suffisant, le nombre de cyberattaques augmente constamment et celles ci sont de plus en plus sophistiquées.

Votre groupe de travail a déjà assisté à des présentations sur le virus répandu Ransomware. Au Canada, ce virus faisait croire à une intervention menée par un organisme fictif, le Service des enquêtes sur la cybercriminalité de la police canadienne, et verrouillait l’ordinateur touché jusqu’à ce qu’un paiement ait été effectué.

De nombreux sondages ont fait ressortir le fait qu’un grand nombre d’entreprises canadiennes ne sont pas préparées à faire face à une cyberattaque, soit parce qu’elles ne sont pas conscientes de cette menace, que leurs mesures de sécurité et leurs procédures comportent des failles ou qu’elles considèrent les atteintes à la vie privée comme le prix à payer pour faire des affaires. Lors d’un sondage réalisé par l’International Cyber Security Protection Alliance auprès de plus de 500 entreprises faisant des affaires au Canada, 70 % des répondants ont déclaré avoir été victimes d’une cyberattaque au cours des 12 mois précédents. Et le même pourcentage n’avaient mis en place aucune procédure officielle à suivre en cas de cybercriminalité.

Pourtant, c’est dans le secteur privé que se trouve la plus grande partie des biens d’infrastructure essentiels du pays, par exemple les institutions bancaires, les installations de production d’énergie ainsi que les réseaux de transmission, de transport et de télécommunications.  

Nécessité croissante d’une collaboration entre les spécialistes de la cybersécurité et les autorités chargées de la protection des données dans un monde de plus en plus sans frontières

Dans ce contexte, il est impératif que les spécialistes de la cybersécurité et les autorités chargées de la protection des données, comme le Commissariat, collaborent encore plus étroitement pour améliorer les mesures de protection dans le secteur privé et veiller à ce que la protection de la vie privée constitue un principe directeur des efforts en matière de cybersécurité.

Le fait que nous exerçons tous nos activités dans un monde sans frontières est un autre élément qui justifie une collaboration accrue. Les menaces qui pèsent sur la sécurité des renseignements conservés sur le territoire canadien peuvent venir de l’extérieur du pays. D’ailleurs, c’est souvent le cas. C’est pourquoi les organisations comme le Groupe de travail et le Plan d’action de Londres jouent un rôle très important du fait de leur envergure internationale.

Cet échange de connaissances et le perfectionnement des pratiques exemplaires sont essentiels pour renforcer l’efficacité de la cybersécurité. Et, pour reprendre ce que j’ai dit plus tôt, l’efficacité de la protection de la vie privée repose sur une meilleure cybersécurité.

Au cours de mon mandat comme commissaire à la protection de la vie privée, notre organisme a pris des mesures pour renforcer ses liens avec ses homologues internationaux.

Dans ce qui constitue un jalon pour la protection de la vie privée à l’échelle mondiale, le Commissariat et l’autorité néerlandaise de protection des données ont collaboré l’an dernier à une enquête sur WhatsApp, un développeur d’applications mobiles situé en Californie qui compte des centaines de millions de clients partout dans le monde. Nous avons concentré nos efforts sur la plateforme de messagerie mobile de WhatsApp, et nous avons constaté qu’elle contrevenait aux lois sur la protection de la vie privée du Canada et des Pays-Bas.

L’entreprise a accepté de mettre en œuvre des recommandations visant à atténuer les risques d’atteinte à la vie privée liés à sa plateforme. Le Commissariat et l’autorité néerlandaise ont produit chacun un rapport de conclusions d’enquête, et nous assurons tous les deux un suivi en vertu de nos lois respectives.

Un autre effort de collaboration internationale en matière de protection de la vie privée, de beaucoup plus grande envergure cette fois ci, a été lieu pendant une semaine en mai dernier. Dix-neuf organismes chargés de l’application de lois en matière de protection de la vie privée ont uni leurs forces dans le cadre d’un ratissage visant à examiner les politiques de confidentialité affichées sur presque 2 200 sites Web et près de 100 applications. Le Commissariat a participé à ce ratissage.

Près du quart de ces sites Web et de ces applications n’affichaient aucune politique de confidentialité. Les résultats ont été particulièrement décevants dans le cas des applications mobiles : plus de la moitié n’affichaient aucune politique de confidentialité et plus de 90 % suscitaient des inquiétudes liées à la façon dont elles présentaient l’information concernant leurs pratiques de gestion des renseignements personnels.

Le ratissage d’Internet a fait ressortir l’importance, pour les organisations, d’expliquer leurs pratiques de gestion des renseignements personnels de façon transparente et concise. Les gens ont besoin de ces explications pour pouvoir prendre des décisions éclairées en ce qui a trait à la maîtrise de leurs propres renseignements personnels. Et ils les méritent.

Importance capitale de l’éducation et de la formation

Cette réflexion m’amène à l’importance de l’éducation et de la formation du public. Nos sondages de suivi bisannuels révèlent une progression lente du pourcentage de Canadiens qui estiment connaître relativement bien les lois du Canada en matière de protection des renseignements personnels. Un peu plus du tiers des répondants appartiennent à cette catégorie. Cela dit, près des deux tiers des répondants estiment connaître peu ou modérément ces lois.

Ajoutez à cela les complexités technologiques de la cybersécurité et vous comprendrez qu’il est normal que la plupart des gens aient beaucoup de difficultés à bien saisir la relation entre la cybersécurité et la protection de la vie privée. Je crois donc que de plus en plus de Canadiens sont prêts pour une bonne dose de sensibilisation publique efficace à ces questions.

Pourquoi? Parce que les téléphones intelligents deviennent omniprésents au pays. Déjà, les trois quarts des ménages canadiens ont accès à un téléphone sans fil, et les appareils mobiles comme les téléphones intelligents et les tablettes sont des cibles de choix pour les cybercriminels.

Vous êtes nombreux, dans cette salle, à être conscients de l’importance de sensibiliser vos clients aux pratiques exemplaires en matière de lutte contre l’hameçonnage et les autres formes de pourriels malveillants. Dans la même veine, le Commissariat a élaboré, à l’intention des organisations, un cadre de responsabilisation pour la protection de la vie privée et une vaste stratégie visant à faire participer les jeunes à la protection de leurs renseignements personnels.

C’est aussi un message que vous avons livré aux petites entreprises canadiennes lors d’une tournée nationale l’an dernier. Nous nous sommes surtout appuyés sur les résultats d’une étude menée par le cabinet international de relations publiques Edelmans lors de laquelle 46 % des répondants ont déclaré délaisser ou éviter les entreprises mises en cause dans des atteintes à la sécurité des renseignements personnels.

Un effectif bien informé est crucial pour éviter de telles atteintes car la solidité d’une organisation correspond à celle de son maillon le plus faible. Pour réduire les risques d’atteinte, nous demandons que les privilèges administratifs soient réservés à la personne chargée de la TI au sein d’une équipe. On éviterait ainsi que n’importe qui puisse installer de nouveaux logiciels susceptibles de contenir des maliciels.

Nous insistons sur la nécessité d’indiquer aux employés comment choisir des mots de passe difficiles à deviner et de leur recommander de les changer régulièrement.

Ces pratiques ne représentent une nouveauté pour personne ici, mais elles doivent absolument être adoptées par toutes les organisations.

Nécessité de moderniser la législation

J’aimerais, en terminant, dire quelques mots sur une question qui devient de plus en plus pressante à chaque jour. Je parle de la nécessité de mettre à jour et de renforcer les deux lois canadiennes sur la protection des renseignements personnels, dont la LPRPDE, qui a été adoptée à une époque où les nuages renfermaient uniquement de la vapeur d’eau et non des données, où les téléphones n’étaient pas intelligents et où les gazouillis étaient un bruit produit par les oiseaux.

La législation doit, au même titre que la technologie, progresser de façon à permettre de lutter contre les nouvelles menaces pour la cybersécurité et la vie privée. Le Commissariat se réjouit d’être associé au travail important réalisé dans la sphère technologique par le Groupe de travail et l’équipe du London Action Plan.

Sur le plan juridique, le Commissariat est l’un des trois organismes fédéraux chargés de l’application de la loi antipourriel du Canada, qui fait actuellement l’objet de dernière retouches avant son entrée en vigueur. Le Commissariat concentrera ses efforts sur la collecte non autorisée de renseignements personnels, en particulier la récolte d’adresses électroniques et l’accès aux systèmes informatiques à l’aide d’un logiciel malveillant et par d’autres moyens illégaux.

La loi antipourriel constitue certainement un pas dans la bonne direction, mais d’autres efforts plus fondamentaux de modernisation de la LPRPDE tardent à être déployés.

Avant de conclure, voici trois recommandations clés énoncées par le Commissariat dans un exposé de principes en vue de la réforme de la loi :

  • Renforcement des pouvoirs en matière d’application de la loi pour permettre au Canada de rivaliser à armes égales avec certains de ses partenaires commerciaux importants.
  • Signalement des atteintes à la vie privée pour obliger les organisations à signaler au Commissariat les atteintes à la sécurité des renseignements personnels et à aviser les personnes touchées, s’il y a lieu.
  • Promotion de la responsabilisation pour veiller à ce que les organisations respectent les engagements liés à l’amélioration des pratiques de protection de la vie privée qu’elles ont pris à la suite d’une enquête ou d’une vérification.

Une réforme portant sur ces éléments doterait votre compagnon d’armes, le Commissariat, d’un arsenal plus puissant pour protéger les renseignements personnels. Et qui ne voudrait pas d’un allié bien armé dans un combat aussi épique?

Je vous remercie.

Date de modification :