Enquête sur Ashley Madison — Leçons à tirer pour toutes les organisations

L’atteinte à la protection des données dont a été victime en 2015 le site Web Ashley Madison, exploité par Avid Life Media (ALM – depuis renommé « ruby Corp. »), a fait les manchettes en raison de l’ampleur, de la sensibilité et du caractère intime des renseignements auxquels les pirates ont eu accès et qu’ils ont communiqués. Compte tenu des répercussions de cet incident à l’échelle internationale, le commissaire à la protection de la vie privée du Canada et le commissaire à l’information de l’Australie ont ouvert une enquête conjointe et voici le rapport de conclusions.

Le rapport expose des leçons pour toutes les organisations assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), particulièrement celles qui recueillent, utilisent ou communiquent des renseignements personnels potentiellement sensibles. Le présent document résume quelques-unes des principales leçons à tirer de l’enquête. Les organisations qui souhaitent obtenir de l’information détaillée sont invitées à consulter le rapport de conclusions dans son intégralité.

Leçons à tirer — Généralités

Les préjudices causés vont au-delà des répercussions financières. Les discussions portant sur les « préjudices » qui découlent des atteintes à la sécurité des données sont souvent axées sur le vol d’identité, les fraudes par carte de crédit et d’autres répercussions financières similaires. Ces préjudices sont importants et manifestes, mais ils ne représentent qu’une partie des préjudices possibles. Par exemple, une atteinte à la réputation d’une personne est susceptible d’entraîner des répercussions importantes, car elle peut nuire longtemps à ses relations, à sa sécurité et à sa capacité de trouver un emploi et de le garder selon la nature des renseignements communiqués. Elle peut également constituer une forme de préjudice qu’il est difficile de réparer. Pour être en mesure d’évaluer et d’atténuer les risques de façon appropriée, les organisations devraient donc examiner soigneusement tous les préjudices qui pourraient découler d’une atteinte à la sécurité des renseignements personnels qui leur sont confiés.

On trouvera une analyse approfondie de la question de la réputation en ligne dans le document intitulé Réputation en ligne – Que dit-on à mon sujet?.

Les mesures de sécurité devraient s’appuyer sur un cadre de gouvernance cohérent et adéquat. Dans l’économie numérique, le modèle d’affaires de nombreuses organisations repose principalement sur la collecte, l’utilisation et la communication de grandes quantités de renseignements personnels (parfois sensibles). Mentionnons notamment les réseaux sociaux, les sites Web de rencontres et les agences d’évaluation du crédit. Pour s’acquitter des obligations lui incombant en vertu de la LPRPDE, toute organisation qui détient de grandes quantités de renseignements personnels doit mettre en place des mesures de sécurité prenant en compte plusieurs facteurs, dont la sensibilité des renseignements recueillis et leur quantité. De plus, ces mesures devraient s’appuyer sur un cadre adéquat pour la gouvernance de la sécurité des renseignements de sorte que les pratiques adoptées soient « appropriées afin d’atténuer les risques » et « que les pratiques, procédures et systèmes [soient] compris de façon uniforme et mis en œuvre de façon efficace ». Dans le cas d’ALM, l’enquête a révélé que l’absence d’un tel cadre constituait une « lacune inacceptable » qui « l’empêchait de prévenir les multiples failles de sécurité ». (Paragraphe 79)

On trouvera une analyse approfondie de la question de la gouvernance de l’information dans les lignes directrices intitulées Un programme de gestion de la protection de la vie privée : la clé de la responsabilité.

Leçons à tirer — Mesures de sécurité

La documentation des pratiques de sécurité et de protection de la vie privée peut en soi faire partie des mesures de sécurité. Le rapport de conclusions publié à la suite de l’enquête sur ALM souligne l’importance de documenter les pratiques de sécurité et de protection de la vie privée, notamment :

  • « L’adoption de politiques et de procédures de sécurité documentées constitue une mesure de sécurité organisationnelle de base […]. » (Paragraphe 65)
  • « Une évaluation des risques périodique et documentée constitue en soi une importante mesure de sécurité organisationnelle […]. » (Paragraphe 69 – Les caractères gras sont ajoutés.)

La documentation rend plus claires les attentes envers les employés en ce qui concerne la sécurité et la protection de la vie privée et illustre l’importance accordée à la sécurité des renseignements. Toute organisation qui accorde la priorité à la sécurité peut plus facilement cerner et prévenir les lacunes dans les mesures d’atténuation des risques, dispose d’un point de référence pour évaluer les pratiques et est en mesure de réévaluer ses pratiques dans un contexte de menaces en constante évolution.

On trouvera une analyse approfondie de la question des mesures de sécurité requises dans la section sur les mesures de sécurité dans la Trousse d’outils en matière de vie privée, Protéger les renseignements personnels : Un outil d’auto-évaluation à l’intention des organisations, et dans le Bulletin d’interprétation : mesures de sécurité

Une authentification multifactorielle s’impose pour l’accès à distance en tant qu’administrateur. Au moment de l’incident, ALM exigeait que ses employés fournissent un nom d’utilisateur, un mot de passe et un « secret partagé » pour avoir accès à ses systèmes via le réseau privé virtuel (virtual private network – VPN). Chacun de ces facteurs correspond à « quelque chose que l’on sait » (et non à « quelque chose que l’on possède » ou à « quelque chose que l’on est »). Ce système d’authentification était donc fondé sur un seul facteur. Cette absence de système d’authentification multifactorielle pour contrôler l’accès à distance en tant qu’administrateur – pratique généralement recommandée dans l’industrie – a été décrite comme une « préoccupation importante ».

On trouvera une analyse approfondie de la question de l’authentification dans les Lignes directrices en matière d'identification et d'authentification.

Leçons à tirer — Suppression et conservation

Les exigences à respecter pour imposer des frais de suppression sont élevées. En vertu de la LPRPDE, une personne peut retirer son consentement à la collecte, à l’utilisation ou à la communication de ses renseignements personnels, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable. La Loi ne précise pas si ces restrictions peuvent englober les frais – comme le montant de 19 $ exigé par ALM pour la « suppression définitive » des renseignements du profil des utilisateurs (ces frais ne sont plus facturés depuis l’incident) — mais les exigences à respecter afin d’entraver ainsi l’exercice du droit d’un individu à la vie privée seront élevées. Pour déterminer s’il est raisonnable d’adopter ce type de pratique, il faut tenir compte de facteurs comme le coût réel pour l’organisation par rapport aux frais facturés ainsi que l’influence probable de ces frais sur la décision d’une personne de retirer ou non son consentement. De plus, dans les cas où il serait raisonnable d’imposer des frais, l’organisation devrait le faire savoir clairement et ostensiblement avant qu’une personne donne son consentement. En général, les organisations qui doivent décider si elles imposeront ces frais devraient examiner la question le plus sérieusement possible.

Les politiques de conservation devraient être fondés sur une justification et des échéanciers démontrables. En vertu de la LPRPDE, on ne doit conserver les renseignements qu’aussi longtemps que nécessaire pour la réalisation des fins auxquelles ils ont été recueillis. Pour les besoins de l’enquête sur ALM, deux politiques de conservation ont été examinées, celles associées aux profils supprimés ou aux profils inactifs et désactivés. Dans le cas des profils supprimés, ALM a été en mesure d’indiquer clairement la fin à laquelle servaient les profils conservés (prévention de rejets de débit frauduleux, problème manifeste auquel faisait face l’entreprise) et d’établir un lien entre le calendrier de conservation et cette fin. Par contre, dans le cas des profils inactifs et désactivés, ALM conservait les renseignements indéfiniment. Selon ses dires, elle les conservait au cas où une personne souhaiterait réactiver son profil dans l’avenir – même si 99,9 % des personnes qui réactivaient leur compte le faisaient dans les 29 jours suivant la désactivation. Ces pratiques opposées donnent aux organisations un exemple clair de bonnes et de mauvaises pratiques en ce qui a trait aux politiques de conservation.

Leçons à tirer — Exactitude

Le degré d’exactitude nécessaire devrait être établi en fonction des répercussions prévisibles de l’inexactitude et tenir compte des intérêts des non-utilisateurs. L’enquête s’est intéressée à la pratique d’ALM d’exiger que les personnes qui s’inscrivent lui fournissent une adresse de courriel sans que cette adresse ne fasse l’objet d’une vérification. Quoique l’absence de vérification puisse habiliter une personne à nier une association avec les services, elle crée inutilement un risque d’atteinte à la réputation des non-utilisateurs, permettant, par exemple, de créer un faux profil susceptible de causer un préjudice au détenteur d’une adresse de courriel. L’obligation d’assurer l’exactitude doit tenir compte des intérêts de toutes les personnes au sujet desquelles des renseignements pourraient être recueillis, y compris les non-utilisateurs.

Leçons à tirer — Transparence

Les déclarations fausses ou trompeuses peuvent avoir une incidence sur la validité du consentement. Au moment de l’incident, la page d’accueil d’ALM affichait une fausse icône mentionnant que le site s’était vu décerner une marque de confiance. Les allégations concernant les pratiques d’une organisation en matière de protection de la vie privée – y compris les marques de confiance indiquant un niveau élevé de sécurité et de protection de la vie privée – visent à accroître la confiance de l’utilisateur afin qu’il consente à ce que l’organisation recueille, utilise ou communique ses renseignements personnels. Dans les faits, ces affirmations peuvent avoir une grande incidence sur la décision d’utiliser ou non un service en particulier. Les organisations devraient être conscientes du fait que les déclarations remettent en question la validité du consentement.

Le manque de clarté des déclarations importantes ou l’absence de telles déclarations peuvent aussi avoir une incidence sur la validité du consentement. En vertu de la LPRPDE, le consentement n’est valide que s’il est raisonnable de s’attendre à ce qu’une personne comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles elle consent. L’enquête sur ALM a fait ressortir clairement que même une lecture attentive de l’information fournie avant l’inscription ne permettait pas d’obtenir les principaux éléments d’information susceptibles d’influer sur la décision de s’inscrire ou non. Par exemple, l’information affichée ne mentionnait pas les frais à acquitter pour faire supprimer les renseignements personnels. Les organisations devraient prendre bonne note qu’un manque de transparence dans la communication de leurs pratiques de gestion des renseignements personnels – y compris le fait de dissimuler leurs pratiques clés ou de ne pas les présenter clairement – peut remettre en question la validité du consentement.

Date de modification :