Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Lettre d’engagement auprès du Commissariat à la protection de la vie privée du Canada

Par PowerSchool Holdings, Inc.

Conditions générales

  1. Le Commissaire à la protection de la vie privée du Canada (le Commissaire) veille au respect de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi), qui régit la collecte, l’utilisation ou la communication de renseignements personnels par les organisations du secteur privé dans le cadre d’activités commerciales.
  2. PowerSchool Holdings, Inc. (PowerSchool) a accepté de respecter les engagements énoncés dans la présente lettre d’engagement (la lettre) à la demande du Commissaire. Dans la lettre, PowerSchool confirme les mesures qu’elle a prises pour protéger les renseignements depuis la cyberattaque survenue en décembre 2024 (la cyberattaque) et s’engage à fournir d’autres renseignements et à effectuer certaines tâches supplémentaires par rapport à la cyberattaque.
  3. Lorsque PowerSchool aura signé la présente lettre, les plaintes reçues par le Commissaire concernant l’atteinte aux mesures de sécurité de PowerSchool seront abandonnées conformément à l’alinéa 12.2(1)c) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), puisque PowerSchool aura apporté une réponse juste et équitable à la plainte. Le Commissaire peut toujours, à sa discrétion, déposer une plainte en vertu du paragraphe 11(2) de la LPRPDE si PowerSchool ne respecte pas les engagements énoncés aux parties I à III de la présente lettre d’ici le 31 mars 2026 ou si de nouvelles préoccupations en matière de protection de la vie privée sont portées à l’attention du Commissaire relativement à cette affaire.
  4. Le Commissaire peut demander à PowerSchool de fournir des renseignements et des documents afin de vérifier qu’elle respecte les engagements qu’elle a pris dans la présente lettre.
  5. Le Commissaire peut demander à PowerSchool de prendre d’autres engagements après avoir examiné toute information supplémentaire qu’il reçoit relativement à cette affaire.
  6. Le Commissaire peut communiquer ou rendre publique la présente lettre ou une partie de celle-ci en vertu de l’article 20 de la Loi.
  7. Il est entendu que le Commissaire estime que la Loi s’applique et que rien dans la présente lettre n’empêche le Commissaire d’exercer les attributions que lui confère la Loi ou ne lui impose de restrictions à cet égard.
  8. Les renseignements personnels en cause dans l’incident qui a eu lieu en décembre 2024 (décrit ci-dessous) peuvent être visés par les lois sur la protection des renseignements personnels d’autres juridictions, et rien dans la présente lettre n’empêche d’autres autorités chargées de la protection de la vie privée d’exercer les attributions que leur confèrent leurs lois applicables ou ne leur impose de restrictions à cet égard.
  9. La présente lettre ne constitue pas une admission de responsabilité ou d’acte répréhensible par PowerSchool et ne doit pas être interprétée en ce sens.

Vue d’ensemble de l’incident

Le 27 janvier 2025, PowerSchool a signalé au Commissariat une atteinte à ses mesures de sécurité, qui a compromis les renseignements personnels de millions d’individus au Canada.

Les faits de l’atteinte, tels qu’ils sont connus à la date de la signature de la présente lettre et tels qu’ils ont été confirmés par PowerSchool, sont les suivants :

  • À l’aide des justificatifs compromis d’un fournisseur, un auteur de menace a eu un accès non autorisé à PowerSource et a ensuite accédé aux systèmes d’information scolaire (SIS) de la clientèle de PowerSchool, notamment des écoles, des conseils scolaires et des districts scolaires. L’auteur de menace a exfiltré des données se trouvant dans les SIS, y compris les renseignements personnels d’élèves actuels et anciens, d’éducateurs actuels et anciens, ainsi que de parents, dans plusieurs provinces et territoires. Entre les 19 et 28 décembre 2024, l’auteur de menace a eu un accès non autorisé à PowerSource au moyen du compte compromis. PowerSchool a également confirmé qu’un auteur inconnu avait accédé à PowerSource en utilisant des justificatifs de soutien compromis en août 2024.
  • Les renseignements personnels compromis par l'atteinte comprennent, pour chaque individu touché, une combinaison variable des éléments suivants : nom, coordonnées, date de naissance et, dans le cas d’un sous-groupe d’individus : renseignements d’alerte médicale, numéro d’assurance sociale (NAS) et autres renseignements que la clientèle aurait stockés dans ses SIS.
  • En janvier et en février 2025, PowerSchool a avisé la clientèle touchée (c.-à-d. les écoles, les conseils scolaires et les districts scolaires). Powerschool a également avisé, directement et indirectement, les Canadiennes et les Canadiens touchés par l’atteinte dans les cas où elle était autorisée à le faire par les écoles, les conseils scolaires ou les districts scolaires. L’avis indirect a été communiqué par l’ajout de nouveau contenu Web concernant l’incident qui comprenait les renseignements que doit contenir un avis, et l’information a été diffusée au moyen de communiqués de presse.
  • PowerSchool a confirmé qu’elle offrait deux ans de services de protection de l’identité aux élèves et aux éducateurs mineurs touchés, et deux ans de services de surveillance du crédit aux élèves et aux éducateurs majeurs touchés. PowerSchool offre ces services aux individus touchés, peu importe si leur NAS a été compromis ou non.
  • Par l’entremise d’un avocat, PowerSchool a embauché l’entreprise de cybersécurité CrowdStrike Holdings, Inc. (CrowdStrike) pour mener à bien une enquête judiciaire. Le 28 février 2025, CrowdStrike a soumis à PowerSchool le rapport résultant de son enquête judiciaire visant l’atteinte, et PowerSchool l’a ensuite transmis au Commissariat. Ce rapport est publié sur le site Web de PowerSchool.
  • À la suite de l’atteinte, PowerSchool a pris plusieurs mesures pour s’assurer que l’environnement touché était sécurisé, notamment la désactivation des justificatifs compromis, l’application d’une réinitialisation complète du mot de passe des employés et des fournisseurs, la restriction de l’accès, le renforcement des contrôles visant les mots de passe et les accès du portail de soutien à la clientèle touchée, et l’obligation d’utiliser le réseau privé virtuel de l’entreprise (qui nécessite lui-même l’authentification unique et l’authentification multifactorielle) pour accéder à l’environnement de la plateforme de soutien à la clientèle PowerSource.

Le Commissariat reconnaît que PowerSchool a pris des mesures pour contenir l’atteinte, qu’elle a avisé les parties touchées et qu’elle a offert des services de protection du crédit.

Dans la présente lettre d’engagement, PowerSchool s’engage volontairement à prendre les mesures supplémentaires énoncées ci-dessous afin de renforcer ses mesures de sécurité, de continuer à intervenir en réaction à la présente atteinte et de prévenir d’autres atteintes. PowerSchool reconnaît et est d’avis que la clientèle touchée par l’atteinte peut elle-même être visée par des obligations en matière de signalement des atteintes prévues par les lois ou les règlements provinciaux et territoriaux relatifs à la protection des renseignements personnels.

Engagements

I. Mesures de sécurité

  1. D’ici le 31 juillet 2025, PowerSchool confirmera au Commissaire si elle a retenu les services de CrowdStrike ou d'autres entités d’enquête judiciaire, et si d’autres renseignements judiciaires ou recommandations concernant l’incident (autres que ceux déjà inclus dans le rapport de mars 2025) lui seront transmis par CrowdStrike ou d’autres entités d’enquête judiciaire, et si c’est le cas, elle fournira une copie des renseignements.
  2. D’ici le 31 juillet 2025, PowerSchool confirmera au Commissaire si elle prévoit de mettre en œuvre tout autre processus d’authentification supplémentaire pour la plateforme PowerSource et fournira des précisions sur les mesures supplémentaires, notamment les dates de mise en œuvre. Si PowerSchool choisit de ne pas mettre en œuvre de processus d’authentification supplémentaire, elle fournira au Commissaire une explication détaillée.
  3. D’ici le 31 décembre 2025, PowerSchool fournira au Commissaire des éléments de preuve qui démontrent clairement 1) qu’elle a amélioré ses outils de surveillance et de détection et 2) que ses outils permettent de détecter des formes d’activités irrégulières.
  4. D’ici le 31 décembre 2025, PowerSchool fournira au Commissaire des éléments de preuve qui démontrent clairement qu’elle a procédé à un examen et à une modification de ses droits d’accès aux systèmes pour respecter les pratiques exemplaires en matière de sécurité et les besoins opérationnels, notamment la nécessité d’avoir en place des agents de soutien à la clientèle.

II. Signalement des atteintes

En plus des obligations imposées par d’autres autorités, lois ou ententes contractuelles, PowerSchool continuera de remplir toutes les obligations contractuelles applicables selon lesquelles elle doit fournir à sa clientèle des renseignements sur l’atteinte et les conséquences de celle-ci afin qu’elle puisse comprendre les circonstances de l’atteinte, évaluer le risque de préjudice pour les individus touchés et s’acquitter de ses obligations en matière d’avis et de signalement des atteintes au titre des lois applicables sur la protection des renseignements personnels.

III. Autres engagements

  1. D’ici le 31 mars 2026, PowerSchool fournira au Commissaire des renseignements démontrant qu’elle a obtenu une nouvelle attestation de conformité à la norme ISO/IEC 27001.
  2. D’ici le 31 mars 2026, PowerSchool fournira au Commissaire une évaluation de la sécurité et un rapport réalisé par une entreprise externe d’évaluation de la sécurité accréditée et indépendante. Celui-ci portera sur les nouvelles mesures de sécurité mises en œuvre par PowerSchool pour protéger les renseignements, et il comprendra au moins :
    1. une évaluation de l’efficacité des mesures prises par PowerSchool pour protéger les renseignements personnels;
    2. une évaluation de la capacité de PowerSchool de prévenir et de détecter les atteintes potentielles, et d’intervenir si des atteintes surviennent;
    3. la détermination des risques internes et externes qui pourraient avoir une incidence sur les renseignements personnels;
    4. des solutions pour gérer ces risques.
  3. Si l’entreprise d’évaluation de la sécurité formule des recommandations à l’intention de PowerSchool dans le contexte de l’évaluation, PowerSchool fournira une copie des recommandations et informera le Commissaire de ce qui suit :
    1. si PowerSchool a accepté chacune des recommandations;
    2. dans le cas d’une recommandation refusée, la raison pour laquelle elle l’a été;
    3. si une recommandation est acceptée.
  4. Si la recommandation a été entièrement mise en œuvre et si les mesures ont été prises par PowerSchool pour mettre en œuvre la recommandation, et si la recommandation n’a toujours pas été entièrement mise en œuvre, PowerSchool fournira au Commissaire un plan de mise en œuvre énonçant les mesures qu’elle prendra pour mettre en œuvre les recommandations et les dates auxquelles ces mesures auront été prises. Les recommandations (ou l’absence de recommandations) et la mise en œuvre de celles-ci seront assujetties à l’examen et à l’approbation du Commissaire.

Signature

PowerSchool prend volontairement les présents engagements. PowerSchool ne renonce pas à son droit de faire valoir sa position concernant l’application de la Loi et l’étendue de la compétence du Commissaire à son égard, et se réserve explicitement ce droit.

En signant la présente lettre, PowerSchool s’engage à respecter les conditions qui y sont énoncées.

Signée à Folsum, dans l’État de la Californie, le 15e jour de juillet 2025.

Date de modification :