Prévenir une atteinte à la vie privée et réagir en cas d’atteinte

Septembre 2018

Les renseignements ci-dessous fournissent aux entreprises des meilleures pratiques pour prévenir une atteinte à la vie privée et réagir en cas d’atteinte.

Connaissez les menaces auxquelles vous vous exposez

1. Prenez connaissance des renseignements personnels dont vous disposez, de l’endroit où ils se trouvent et de ce que vous faites avec ceux-ci. Les inventaires de données et les descriptions des processus aident à connaître exactement les renseignements personnels que vous devez protéger, ainsi que le moment et l’endroit où vous devez les protéger. Quand et dans quels contextes recueillez-vous des renseignements personnels? Où cette information est-elle acheminée? Quelles personnes peuvent y accéder et de quel usage en font-elles? Vous devez connaître vos données pour pouvoir les protéger!
2. Prenez connaissance de vos vulnérabilités. Faites des évaluations du risque et de la vulnérabilité et/ou des essais de pénétration au sein de votre organisation afin de cerner les menaces à la vie privée. Ne vous concentrez pas uniquement sur les vulnérabilités techniques. Est-ce que des tiers recueillent des renseignements personnels pour votre compte sans que des mesures de sécurité adéquates aient été mises en place? Est-ce que vous utilisez des formulaires de demande papier qui sont transférés à un lieu central? (En cas de perte, vous n’auriez aucune façon de déterminer quelles personnes sont touchées et encore moins de les aviser.) Si vous mettez à niveau vos systèmes, est-ce que les anciens systèmes et bases de données demeurent actifs, sans surveillance et avec des failles non corrigées? Le Commissariat a observé des atteintes découlant de chacun de ces scénarios. Déterminez quels sont les points faibles de votre organisation avant qu’une atteinte ne le fasse pour vous!
3. Connaissez votre industrie. Soyez au courant des atteintes qui ont frappé votre industrie. Les pirates utilisent souvent les mêmes tactiques pour attaquer plusieurs organisations. Portez attention aux alertes et aux autres renseignements transmis par votre association industrielle. Peu importe votre source d’information concernant votre secteur d’activité, ne soyez pas la prochaine cible vulnérable aux atteintes!

Ne pensez pas seulement aux pirates

4. Cryptez les ordinateurs portatifs, les clés USB et les autres dispositifs portatifs. Les organisations se concentrent souvent sur les atteintes à la vie privée provoquées par des pirates, mais elles ne tiennent pas compte d’autres menaces importantes. Le Commissariat a observé que le type le plus courant d’atteinte pouvant être prévenu découle tout probablement de la perte ou du vol d’ordinateurs portatifs, de clés USB et d’autres dispositifs portatifs non cryptés. Dans bon nombre de ces incidents, l’utilisation d’un cryptage suffisamment robuste aurait pu transformer une atteinte à la vie privée qui a fait la une des médias en un problème mineur.
5. Limitez les renseignements personnels que vous recueillez, ainsi que ceux que vous conservez. Vous devez savoir pour quelle raison vous recueillez chaque renseignement personnel et pourquoi vous le conservez. Dans la mesure du possible, évitez de recueillir des renseignements personnels. Par exemple, il n’est généralement pas nécessaire de prendre en note le numéro de la carte d’identité d’une personne pour confirmer son identité; il suffit d’y jeter un coup d’œil attentif. Aussi, si des renseignements personnels ne sont recueillis qu’à des fins limitées, éliminez-les en toute sécurité une fois qu’ils ont été utilisés à ces fins. N’oubliez pas : vous ne pouvez pas perdre quelque chose que vous n’avez pas!
6. Ne négligez pas l’étape de la fin de vie des renseignements personnels. Vous devez protéger les renseignements personnels pendant toute la durée de leur cycle de vie, y compris à la toute fin de celui-ci, même s’il s’agit d’une étape qui est souvent négligée. Définissez clairement vos politiques et vos procédures en ce qui a trait à la destruction sécuritaire des renseignements personnels et veillez à ce qu’elles soient respectées. Le Commissariat a observé des cas d’atteinte découlant d’une situation où des documents avaient été laissés sur place lors d’un déménagement ou mis à la poubelle, ou encore, des renseignements n’avaient pas correctement été supprimés des appareils électroniques mis au rebut ou envoyés au recyclage. Tel un héros de film d’action, les renseignements personnels sont tenaces : souvent, ils survivent et réapparaissent si le processus d’élimination n’est pas mené à bien!
7. Formez vos employés. Les politiques ne sont efficaces que si les personnes responsables de leur mise en œuvre et de leur respect sont au courant de leur contenu, de leur raison d’être et des conséquences applicables s’ils ne s’acquittent pas de leurs responsabilités. Vous devriez avoir des programmes permanents de formation sur la vie privée et la sécurité qui vont bien au-delà d’exercices consistant à cocher des cases. Les employés qui comprennent bien leurs rôles et leurs responsabilités quant à la protection des renseignements personnels sont sans doute l’une des meilleures défenses d’une organisation contre les atteintes à la vie privée.
8. Limitez et surveillez l’accès aux renseignements personnels. Les employés ne devraient avoir accès qu’aux renseignements personnels qu’ils ont besoin de connaître, surtout si ces renseignements sont de nature délicate. Cela vous aidera à vous assurer qu’ils ne soient pas la cause, accidentellement ou intentionnellement, d’une atteinte à la vie privée. De même, des registres d’accès faisant l’objet d’une surveillance peuvent permettre de repérer les comportements inhabituels et possiblement, de prévenir un incident avant qu’il n’ait fait trop de dommages, voire avant même qu’il ne survienne. N’imposez pas à vos employés un fardeau d’information supérieur à ce dont ils ont besoin pour faire leur travail.

Mais il ne faut pas non plus oublier les pirates

9. Munissez-vous de logiciels et de mesures de protection, et tenez-les à jour. C’est la base de la sécurité : si vous ne vous protégez pas contre les vulnérabilités connues, vous augmentez grandement le risque d’une atteinte. Mettez en place des processus systématiques et consignés afin que les correctifs liés à la sécurité soient appliqués au bon moment et que les logiciels qui ne sont plus utilisés soient supprimés de votre système. Veillez aussi à ce que les définitions des virus et des maliciels associées à vos logiciels antivirus et antimaliciels soient à jour en autorisant des mises à jour périodiques. Soyez à la fine pointe de la technologie, tout comme le sont vos agresseurs.
10. Installez des systèmes de détection et de prévention des intrusions, et surveillez-les. Une organisation doit d’abord prévenir les intrusions et doit donc se munir de systèmes pour ce faire. Toutefois, même si vous avez les meilleures protections possibles, votre système peut faire l’objet d’une atteinte. Les systèmes de détection des intrusions, les pare-feux et les registres de vérification peuvent vous permettre de repérer les atteintes à la vie privée et d’y réagir avant qu’elles ne dégénèrent, pourvu que vous soyez attentif aux messages qu’ils vous transmettent. Veillez à ce que les mesures de protection visant à surveiller les activités du réseau ou du système soient correctement mises en œuvre et surveillées de manière proactive. Ne vous fiez pas uniquement aux gardiens que vous avez installés à la porte d’entrée; sachez ce qui se passe à l’intérieur de vos murs!

Limitation d’une atteinte à la vie privée et évaluation préliminaire

11. Vous devez prendre sans tarder des mesures sensées pour limiter l’atteinte aux renseignements personnels.
    • Limiter immédiatement l’atteinte aux renseignements personnels (p. ex., mettre fin à la pratique non autorisée, récupérer les dossiers, éteindre le système qui fait l’objet de l’atteinte, révoquer ou changer les codes d’accès informatiques, corriger les lacunes des systèmes de sécurité matériels ou électroniques).
    • Désigner une personne qualifiée pour la tenue de l’enquête initiale. Cette personne devrait avoir la marge de manœuvre voulue au sein de l’organisation pour mener l’enquête initiale et formuler des recommandations. Une enquête plus minutieuse pourrait être réalisée plus tard, au besoin.
    • Déterminer s’il est nécessaire de mettre sur pied une équipe qui pourrait mettre à contribution des représentants des secteurs concernés de l’entreprise.
    • À cette étape préliminaire, déterminer qui doit être mis au courant de l’incident à l’interne et, éventuellement, à l’externe. Remonter l’échelle à l’interne, au besoin, et aviser la personne responsable de la conformité aux mesures de protection des renseignements personnels au sein de votre organisation.
    • Ne pas nuire à la capacité d’enquêter sur l’incident. Prendre garde de ne pas détruire des éléments de preuve qui pourraient servir à déterminer la cause de l’incident ou vous permettre de prendre les mesures correctives qui s’imposent.
12. Prévention de futures atteintes à la vie privée. Une fois que les mesures immédiates sont prises pour réduire les risques associés à l’atteinte aux renseignements personnels, les organisations doivent prendre le temps d’enquêter sur les causes de l’incident et de réfléchir à la nécessité d’élaborer un plan de prévention. Plus ou moins d’efforts devraient être déployés en fonction de la gravité de l’incident et de son caractère systémique ou isolé. Le plan pourrait prévoir ce qui suit :
    1. une vérification de la sécurité physique et technique;
    2. un examen des politiques et des procédures et tout changement témoignant des leçons tirées de l’enquête et subséquemment (p. ex., les politiques sur la sécurité, les politiques sur la conservation des dossiers et la collecte de renseignements, etc.);
    3. un examen des pratiques de formation des employés et iv) un examen des partenaires de la prestation de services (p. ex., négociants, détaillants, etc.).