Discours

ARCHIV√Č - Dossiers chauds en mati√®re de protection de la vie priv√©e : R√©agir aux atteintes √† la vie priv√©e

Commentaires √† l’occasion d’une s√©ance dans le cadre du programme de perfectionnement professionnel de l’Association du Barreau de l’Ontario

Le 8 juin 2009
Toronto, Ontario

Allocution prononcée par Elizabeth Denham
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Les grands titres portant sur des fuites de données majeures ces dernières années ont remis la protection des renseignements personnels au premier plan.

Certaines atteintes √† la s√©curit√© des donn√©es — plus de 98 millions de cartes de paiement vis√©es dans l’affaire de la TJX, et 25 millions de personnes concern√©es par l’incident √† l’Agence britannique du revenu et des douanes — sont d’une envergure susceptible d’emp√™cher les responsables de la r√©glementation et les dirigeants d’entreprise de dormir la nuit.¬†

Des atteintes aussi médiatisées peuvent ébranler encore davantage la confiance des consommateurs, déjà malmenée en ces temps de récession.

De nombreux gouvernements r√©agissent en adoptant des lois sur le signalement obligatoire en cas d’atteinte √† la s√©curit√© des donn√©es. Au Canada, les progr√®s sont encourageants, mais nous n’en sommes pas √† cette √©tape.

Il est vrai que tous ne s’entendent pas sur les avantages que nous retirions d’un r√©gime de signalement obligatoire en cas d’atteinte √† la s√©curit√© des donn√©es.

Le Centre for Information Policy Leadership chez Hunton & Williams LLP soutient que d’apr√®s l’exp√©rience des √Čtats-Unis, les lois sur le signalement en cas d’atteinte √† la s√©curit√© des donn√©es ne sont pas d’une grande utilit√© pour combattre le vol d’identit√©. Dans un rapport publi√© l’an dernier, le Centre a soulign√© que des preuves de vol d’identit√© n’avaient √©t√© relev√©es que dans l’une des 24 pires atteintes rendues publiques aux √Čtats-Unis entre 2000 et 2005.

Cependant, de plus r√©centes statistiques laissent entendre le contraire; selon un rapport sur les atteintes √† la s√©curit√© des donn√©es aux √Čtats-Unis r√©alis√© en 2009 par Verizon Business, des criminels ont empoch√© 286 millions de dollars en 2008, une somme sup√©rieure au montant cumulatif des vols commis les quatre ann√©es pr√©c√©dentes.

Le vol de donn√©es a pris beaucoup d’ampleur parmi les divers types d’activit√©s du crime organis√©. Au Commissariat √† la protection de la vie priv√©e, un nombre inqui√©tant d’atteintes signal√©es volontairement ont donn√© lieu √† des activit√©s frauduleuses, la plupart men√©es √† l’interne par des employ√©s, et non √† l’externe par des pirates informatiques.

Mais il n’est pas ici question que de fraude et de vol d’identit√©. L’un des principaux objectifs du signalement en cas d’atteinte √† la s√©curit√© des donn√©es est de favoriser de meilleures mesures de s√©curit√©. De telles mesures ne visent pas qu’√† pr√©venir le vol d’identit√©; elles ont pour but la protection de la vie priv√©e des personnes.

En ce qui a trait au signalement en cas d’atteinte √† la s√©curit√© des donn√©es, les √Čtats-Unis font r√©ellement figure de chef de file.

La Californie a √©t√© le premier √Čtat √† adopter une loi rendant obligatoire la notification de la client√®le; pratiquement tous les √Čtats am√©ricains lui ont embo√ģt√© le pas depuis.

L’an dernier, la Australian Law Reform Commission a exhort√© le gouvernement australien √† promulguer une loi sur le signalement en cas d’atteinte √† la s√©curit√© des donn√©es.

√Ä la Commission europ√©enne, une directive sur la vie priv√©e et les communications √©lectroniques, qui comporte une disposition sur la notification en cas d’atteinte √† la s√©curit√© des donn√©es s’appliquant aux fournisseurs publics de services Web, fait l’objet de d√©bats.

Au pays, Industrie Canada travaille √† instaurer un r√©gime provisoire de signalement en cas d’atteinte √† la s√©curit√© des donn√©es, sur recommandation du comit√© parlementaire qui a proc√©d√© √† l’examen g√©n√©ral de la LPRPDE, la loi f√©d√©rale sur la protection des renseignements personnels dans le secteur priv√©.

Le régime comporte deux volets : la notification des particuliers et la notification du Commissariat à la protection de la vie privée.

Le mod√®le propos√© nous convient dans l’ensemble¬†: il s’agit d’un r√©gime plus nuanc√© que celui institu√© par la plupart des √Čtats am√©ricains, fond√© sur le pr√©judice et r√©ceptif aux d√©fis que pose une d√©finition √©largie de ce que constitue une ¬ę¬†atteinte √† la s√©curit√© des donn√©es¬†¬Ľ.

Selon ce mod√®le, les organisations seraient tenues de signaler au Commissariat toute ¬ę¬†atteinte importante √† la s√©curit√© des donn√©es¬†¬Ľ — cette formulation nous convient. Cela signifie que nous recevrons plus d’avis que les particuliers, ce qui nous permettra de jouer un r√īle important au chapitre de la surveillance et de la politique publique.

Bien entendu, ce régime ne toucherait que les organisations assujetties à la loi fédérale; Industrie Canada étudie donc la question avec les administrations provinciales dotées de lois essentiellement similaires en matière de protection des renseignements personnels.

Une approche commune simplifierait la t√Ęche des entreprises devant r√©agir √† une atteinte √† la s√©curit√© des donn√©es et garantirait que les consommateurs canadiens jouissent des m√™mes avantages, peu importe leur lieu de r√©sidence.

√Ä ce jour, l’Ontario est la seule province ayant adopt√© une disposition de signalement obligatoire en cas d’atteinte √† la s√©curit√© dans le cadre de sa Loi sur la protection des renseignements personnels sur la sant√©.

L’Alberta et la Colombie-Britannique ont aussi proc√©d√© √† l’examen de leurs lois respectives en mati√®re de protection des renseignements personnels, et les comit√©s l√©gislatifs des deux provinces ont recommand√© l’ajout d’exigences relatives au signalement.

En fait, le comit√© de l’Alberta est all√© jusqu’√† proposer d’√©riger en infraction le fait de ne pas aviser la commissaire √† la protection de la vie priv√©e d’une atteinte √† la protection des renseignements personnels lorsqu’il y a lieu de le faire.

En l’absence de lois f√©d√©rales sur le signalement obligatoire en cas d’atteinte, le Commissariat a √©labor√©, en collaboration avec des groupes de d√©fense des consommateurs et des groupes d’entreprises, une s√©rie de lignes directrices facultatives.¬†

Les lignes directrices d√©crivent les principales mesures √† prendre en cas de fuites de donn√©es, comme contenir l’atteinte, √©valuer les risques connexes, informer les personnes touch√©es et pr√©venir les fuites futures.

Nous avons aussi con√ßu d’autres outils pour aider les organisations √† r√©agir en cas d’atteinte √† la s√©curit√© des donn√©es, y compris un formulaire de signalement accessible en ligne.

L’an dernier, nous avons d√©sign√© un ¬ę¬†agent √† la notification¬†¬Ľ au sein du Commissariat, afin de nous assurer que tous les rapports concernant des atteintes √† la s√©curit√© des donn√©es se rendent au m√™me endroit et sont trait√©s de mani√®re uniforme.

Afin de mieux comprendre les causes et les cons√©quences des atteintes √† la s√©curit√© des donn√©es, le Commissariat a analys√© 136 cas d’atteintes qui nous ont √©t√© volontairement signal√©es entre 2006 et 2008.

Nous avons constat√© que le nombre d’atteintes signal√©es est pass√© de 23 en 2006 √† 48 en 2007, et s’√©levait √† 65 l’an dernier.

Cela ne signifie pas qu’il y ait davantage d’atteintes aujourd’hui, mais simplement que davantage des cas nous sont signal√©s depuis que nous avons publi√© les lignes directrices sur le signalement en cas d’atteinte √† la s√©curit√© des donn√©es en 2007.

Nos donn√©es r√©v√®lent que l’industrie bancaire repr√©sente la part du lion pour ce qui est des signalements d’atteintes √† la s√©curit√© des donn√©es au Commissariat, qui sont trois fois plus nombreux que pour le groupe qui le suit en importance, soit les courtiers en hypoth√®que.

Ce r√©sultat s’explique par le fait que les banques ont adopt√© des politiques sur le signalement au Commissariat, contrairement aux autres secteurs. Les banques d√©tiennent aussi plus de renseignements personnels sur leurs clients et proc√®dent √† infiniment plus de transactions que n’importe quel autre secteur.

Dans notre analyse, nous avons class√© les atteintes selon quatre ¬ę¬†cat√©gories¬†¬Ľ.

L’acc√®s, l’utilisation ou la communication non autoris√©s, forc√©ment le fruit d’une intention ou d’un geste d√©lib√©r√©, repr√©sentaient le type d’atteintes le plus fr√©quent au cours de la p√©riode vis√©e par l’√©tude, comptant pour 36¬†% de tous les incidents signal√©s au Commissariat. C’est la cat√©gorie des atteintes caus√©es par l’acc√®s non autoris√©.

La cat√©gorie des atteintes accidentelles, qui comptaient pour un peu plus de 30¬†% des signalements re√ßus, comportait les erreurs d’envoi postal, le retrait inad√©quat des renseignements personnels et les courriels et t√©l√©copies envoy√©s par erreur. ¬†

Le vol de renseignements personnels constituait la troisi√®me cat√©gorie d’atteintes la plus fr√©quente, comptant pour pr√®s du quart des incidents signal√©s au Commissariat. Des portables et de l’√©quipement informatique √©taient d√©rob√©s dans environ la moiti√© des cas, et des documents papier saisis dans l’autre. Cette cat√©gorie ne s’analyse pas facilement puisque, dans certains cas, le vol visait l’√©quipement informatique et non les donn√©es que celui-ci contenait. Les organisations ne sont pas toujours en mesure de d√©terminer l’objet du vol.

Enfin, la quatri√®me cat√©gorie regroupait les cas de perte de renseignements personnels consign√©s sur support papier, num√©rique ou audio, que l’information ait √©t√© diffus√©e ou non. De telles pertes comptaient pour un dixi√®me des incidents signal√©s au Commissariat. L’incident de la CIBC–Talvest entrerait dans cette cat√©gorie.

Nous nous sommes aussi pench√©s sur les responsables des cas d’acc√®s, d’utilisation ou de communication non autoris√©s et sur leurs motifs.

Nous avons constat√© que le personnel des organisations √©tait √† bl√Ęmer dans les deux tiers des incidents, et les employ√©s de tiers fournisseurs de services, dans 10¬†% des cas restants. Autrement dit, des employ√©s peu scrupuleux √©taient responsables de pr√®s de 80¬†% des cas d’acc√®s, d’utilisation ou de communication non autoris√©s signal√©s au Commissariat au cours de cette p√©riode.

Fait inquiétant, la fraude constituait le motif dans neuf cas sur dix.

Nous avons aussi examin√© de plus pr√®s la cat√©gorie des ¬ę¬†atteintes accidentelles¬†¬Ľ, et nous avons constat√© que dans la grande majorit√© des cas, il s’agissait tout bonnement d’erreurs humaines.

Il n’y a l√† rien de surprenant; apr√®s tout, l’erreur est humaine. Il est toutefois plus √©tonnant d’apprendre que la technologie d√©joue moins de gens qu’on pense.

En fait, la faute non technique la plus courante que nous ayons relev√©e √©tait la simple erreur d’envoi de courrier, de t√©l√©copie et de courriel.

Nous avons observ√© que pour l’ensemble des incidents, de multiples facteurs entraient souvent en jeu. Permettez-moi de mentionner les principaux.

L’un des probl√®mes les plus fr√©quents avait trait √† une s√©curit√© informatique inad√©quate, un facteur observable dans tous les cas d’utilisation ou de communication non autoris√©es de renseignements personnels, ou d’acc√®s indu √† ceux-ci.

La technologie √©volue constamment; les organisations doivent donc s’assurer que leurs syst√®mes de s√©curit√© continuent de r√©pondre aux besoins en mati√®re de protection des renseignements personnels.

Les lacunes au chapitre de la s√©curit√© mat√©rielle des lieux o√Ļ les renseignements personnels sont conserv√©s constituaient aussi un facteur, notamment dans le cas de vol ou de perte.

Le troisi√®me principal facteur relev√© √©tait le manque de sensibilisation et de formation des employ√©s, qui a de toute √©vidence jou√© un r√īle dans les erreurs d’envoi de courrier, de courriel et de t√©l√©copie mentionn√©s plus t√īt. Un sondage command√© par le Commissariat en¬†2007 a r√©v√©l√© que seul le tiers des entreprises avaient form√© leur personnel sur leurs pratiques et leurs responsabilit√©s en vertu des lois sur la protection des renseignements personnels du Canada.¬†

Cette √©tude ne brosse le tableau que d’une p√©riode pr√©cise. Elle ne r√©v√®le pas combien d’atteintes se sont produites puisque le signalement au Commissariat n’est pas obligatoire. De plus, les lignes directrices facultatives sur le signalement en cas d’atteinte n’√©taient pas encore publi√©es pendant une partie de la p√©riode vis√©e par l’√©tude.¬†

Bref, l’√©tude n’a peut-√™tre pas grande valeur probante, mais elle nous montre tout de m√™me les types de facteurs qui contribuent aux fuites de donn√©es, et je crois que nous pouvons en tirer des conclusions int√©ressantes et des le√ßons importantes.

Tout d’abord, comme l’inconduite du personnel et des tiers fournisseurs de services joue un r√īle dans de nombreux cas, les organisations devraient s’assurer que leurs politiques en mati√®re de vie priv√©e et de s√©curit√© sont efficaces et rigoureusement appliqu√©es.

Ensuite, il est essentiel que les organisations comblent les lacunes possibles en mati√®re de s√©curit√©, en ce qui a trait tant aux lieux et aux installations physiques qu’aux syst√®mes √©lectroniques.

Enfin, la formation et la sensibilisation permanentes des employ√©s sont primordiales, √† la lumi√®re des nombreux cas o√Ļ l’erreur humaine a donn√© lieu √† des fuites de donn√©es. Il faut aussi garder √† l’esprit que dans la plupart des cas, les technologies utilis√©es √©taient remarquablement simples.

Je tiens √† souligner qu’en cette p√©riode de ralentissement √©conomique, les entreprises qui cherchent √† r√©duire leurs co√Ľts doivent r√©sister √† l’envie de sabrer dans les d√©penses relatives √† la s√©curit√© et √† la protection des renseignements personnels.

√Ä une √©poque o√Ļ les criminels sont susceptibles de chercher √† tirer profit des faiblesses d√©cel√©es, les mesures de r√©duction de co√Ľts des entreprises pourraient s’av√©rer improductives. Des √©tudes ont d√©montr√© qu’il est beaucoup moins co√Ľteux de mettre en place de bonnes mesures de s√©curit√© d√®s le d√©part que de r√©parer les dommages caus√©s par une atteinte √† la s√©curit√© des donn√©es.

Nous sommes toutefois rassur√©s par le fait que de nombreuses entreprises nous ont fait part de leur engagement √† l’√©gard de la protection des renseignements personnels, qu’elles per√ßoivent comme un avantage concurrentiel.

Lorsque le Commissariat est inform√© d’une atteinte √† la s√©curit√© des donn√©es, que ce soit par l’entreprise elle-m√™me ou par une tierce partie, il ouvre un dossier sur l’¬ę¬†incident¬†¬Ľ.

Un enqu√™teur veille ensuite au suivi de l’incident; il s’agit d’un processus moins approfondi qu’une enqu√™te. En fait, l’enqu√™teur cherchera √† conna√ģtre les d√©tails de l’incident et les mesures prises pour r√©gler le probl√®me et pour emp√™cher que la situation se reproduise et √† savoir si l’entreprise a avis√© les personnes concern√©es ou envisag√© de le faire.

Nous pouvons faire des suggestions √† l’organisation. Le Commissariat poss√®de beaucoup d’expertise dans ce domaine.

Nous ne formulons pas de conclusions, mais vous recevrez une lettre du Commissariat au moment de la fermeture du dossier.

Le signalement ne constitue pas une carte blanche!

Parfois, des dossiers d’incident se transforment en dossiers d’enqu√™te.

Cette situation peut survenir lorsque le Commissariat √† la protection de la vie priv√©e re√ßoit une plainte d’un particulier concernant une atteinte √† la s√©curit√© des donn√©es.

√Ä l’occasion, la commissaire peut elle-m√™me prendre l’initiative d’une plainte. Cela ne se produit que dans des circonstances exceptionnelles, notamment lorsqu’il s’agit d’une atteinte tr√®s grave ou d’une atteinte g√©n√©ralis√©e, ou lorsque l’organisation ne semble pas intervenir de mani√®re ad√©quate.

Nous avons r√©cemment entrepris trois v√©rifications relativement √† une pratique g√©n√©ralis√©e qui semble impliquer des activit√©s criminelles √† l’√©chelle d’un secteur d’une industrie.

Je tiens aussi √† souligner qu’en l’absence d’un r√©gime de signalement obligatoire, le Commissariat est susceptible d’avoir une perception positive des organisations qui signalent volontairement les atteintes √† la s√©curit√© des donn√©es.

Celles qui ne communiquent pas avec nous le font sans doute par crainte de la mauvaise publicit√© ou des mesures d’application que pourrait prendre le Commissariat.

Les organisations h√©sitent peut-√™tre aussi √† signaler les atteintes de peur que les renseignements qu’elles fournissent soient d√©voil√©s en vertu de la Loi sur l’acc√®s √† l’information.

 Ces craintes se révèlent souvent exagérées. Voici comment le Commissariat procède :

L’acc√®s √† toute information au dossier est refus√© jusqu’√† ce que l’examen de l’incident soit termin√© et tous les recours possibles √©puis√©s.

Une fois l’examen de l’incident termin√©, la Loi sur l’acc√®s √† l’information nous oblige √† envisager de rendre publics certains renseignements, mais seulement les documents r√©dig√©s par le Commissariat au cours de l’enqu√™te, comme des notes de service, des rapports et des notes au dossier.

Les renseignements fournis par l’organisation mise en cause au cours de l’enqu√™te ou de la v√©rification sont soustraits √† la communication aux termes du paragraphe 16.1 de la Loi sur l’acc√®s √† l’information, m√™me apr√®s que l’enqu√™te a pris fin. Ce sc√©nario diff√®re de celui d’une enqu√™te exhaustive, o√Ļ une lettre de constatation est √©mise. ¬†

Dans le m√™me ordre d’id√©es, si l’incident pr√©sente beaucoup d’int√©r√™t pour le public et a d√©j√† fait l’objet de l’attention des m√©dias, le Commissariat pourrait, √† la fin de l’enqu√™te, divulguer des renseignements contenus dans les rapports qu’il a cr√©√©. Cependant, la Loi sur l’acc√®s √† l’information nous permet de soustraire certaines portions de l’information √† la communication, comme les comptes rendus de consultations et de d√©lib√©rations, de m√™me que les renseignements personnels et les renseignements concernant l’entreprise.

Lorsque j’envisage l’avenir, je reste persuad√©e que le Parlement agira bient√īt sur la question d’un r√©gime de signalement obligatoire en cas d’atteinte √† la s√©curit√© des donn√©es. En tout cas, des d√©put√©s de tous les partis politiques y ont clairement manifest√© leur appui au cours de l’examen en comit√© de la LPRPDE.

Bien qu’un r√©gime ne suffise pas √† √©liminer les atteintes √† la s√©curit√© des donn√©es, il contribuera sans doute √† accro√ģtre la responsabilit√© et l’engagement des organisations √† l’√©gard de la protection des renseignements personnels qui leur sont confi√©s.

Entre-temps, le Commissariat se pr√©pare √† g√©rer une augmentation pr√©vue du nombre de cas d’atteintes et d’examens d’incident. Nous avons d√©j√† pris une s√©rie de mesures, y¬† compris l’√©mission de directives, l’embauche d’enqu√™teurs suppl√©mentaires et la r√©ing√©nierie de nos m√©thodes d’enqu√™te.

Nous avons aussi commandé des travaux de recherche qui devraient nous éclairer sur ce qui nous attend.

Entre autres choses, ces travaux de recherche, dont nous esp√©rons obtenir les r√©sultats au cours des prochains mois, devraient nous donner un aper√ßu du type et du volume d’incidents qui pourraient nous √™tre rapport√©s dans le contexte d’un r√©gime de signalement obligatoire en cas d’atteinte √† la s√©curit√© des donn√©es.

Nous nous entretiendrons avec des groupes d’industries pour examiner leur r√īle dans la gestion des enjeux entourant les fuites de donn√©es — de la pr√©vention au signalement, en passant pas l’att√©nuation des risques.

Nous examinons aussi comment le Commissariat peut contribuer √† cette √©volution, qu’il s’agisse de sensibiliser davantage le public ou de contribuer √† l’√©laboration de politiques publiques au moyen de la collecte de donn√©es ou de l’analyse des tendances.

Nous sommes bien conscients des d√©fis qui attendent les responsables de la r√©glementation charg√©s de la mise en œuvre du r√©gime.

Nous nous r√©jouissons √† l’id√©e de poursuivre le dialogue et nous vous invitons √† nous faire part de vos r√©flexions sur la question ou sur tout autre sujet qui vous pr√©occupe. ¬†

Entre-temps, je vous remets un document du Commissariat qui contient de l’information sur les atteintes √† la protection des renseignements personnels. Nos portes restent grandes ouvertes!

Accessible sur le site www.priv.gc.ca :

Agent à la notification des atteintes :

  • Par courriel¬†: notification@privcom.gc.ca
  • Par t√©l√©phone¬†: 613-947-1698 ou sans frais : 1-800-282-1376
  • Par courrier¬†: 112, rue Kent, 3e √©tage, Ottawa (Ontario) ¬†K1A 1H3