Discours

Dossiers chauds en matière de protection de la vie privée : Réagir aux atteintes à la vie privée

Commentaires Ă  l’occasion d’une sĂ©ance dans le cadre du programme de perfectionnement professionnel de l’Association du Barreau de l’Ontario

Le 8 juin 2009
Toronto, Ontario

Allocution prononcée par Elizabeth Denham
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Les grands titres portant sur des fuites de données majeures ces dernières années ont remis la protection des renseignements personnels au premier plan.

Certaines atteintes Ă  la sĂ©curitĂ© des donnĂ©es — plus de 98 millions de cartes de paiement visĂ©es dans l’affaire de la TJX, et 25 millions de personnes concernĂ©es par l’incident Ă  l’Agence britannique du revenu et des douanes — sont d’une envergure susceptible d’empĂŞcher les responsables de la rĂ©glementation et les dirigeants d’entreprise de dormir la nuit. 

Des atteintes aussi médiatisées peuvent ébranler encore davantage la confiance des consommateurs, déjà malmenée en ces temps de récession.

De nombreux gouvernements rĂ©agissent en adoptant des lois sur le signalement obligatoire en cas d’atteinte Ă  la sĂ©curitĂ© des donnĂ©es. Au Canada, les progrès sont encourageants, mais nous n’en sommes pas Ă  cette Ă©tape.

Il est vrai que tous ne s’entendent pas sur les avantages que nous retirions d’un rĂ©gime de signalement obligatoire en cas d’atteinte Ă  la sĂ©curitĂ© des donnĂ©es.

Le Centre for Information Policy Leadership chez Hunton & Williams LLP soutient que d’après l’expĂ©rience des États-Unis, les lois sur le signalement en cas d’atteinte Ă  la sĂ©curitĂ© des donnĂ©es ne sont pas d’une grande utilitĂ© pour combattre le vol d’identitĂ©. Dans un rapport publiĂ© l’an dernier, le Centre a soulignĂ© que des preuves de vol d’identitĂ© n’avaient Ă©tĂ© relevĂ©es que dans l’une des 24 pires atteintes rendues publiques aux États-Unis entre 2000 et 2005.

Cependant, de plus récentes statistiques laissent entendre le contraire; selon un rapport sur les atteintes à la sécurité des données aux États-Unis réalisé en 2009 par Verizon Business, des criminels ont empoché 286 millions de dollars en 2008, une somme supérieure au montant cumulatif des vols commis les quatre années précédentes.

Le vol de donnĂ©es a pris beaucoup d’ampleur parmi les divers types d’activitĂ©s du crime organisĂ©. Au Commissariat Ă  la protection de la vie privĂ©e, un nombre inquiĂ©tant d’atteintes signalĂ©es volontairement ont donnĂ© lieu Ă  des activitĂ©s frauduleuses, la plupart menĂ©es Ă  l’interne par des employĂ©s, et non Ă  l’externe par des pirates informatiques.

Mais il n’est pas ici question que de fraude et de vol d’identitĂ©. L’un des principaux objectifs du signalement en cas d’atteinte Ă  la sĂ©curitĂ© des donnĂ©es est de favoriser de meilleures mesures de sĂ©curitĂ©. De telles mesures ne visent pas qu’Ă  prĂ©venir le vol d’identitĂ©; elles ont pour but la protection de la vie privĂ©e des personnes.

En ce qui a trait au signalement en cas d’atteinte Ă  la sĂ©curitĂ© des donnĂ©es, les États-Unis font rĂ©ellement figure de chef de file.

La Californie a été le premier État à adopter une loi rendant obligatoire la notification de la clientèle; pratiquement tous les États américains lui ont emboîté le pas depuis.

L’an dernier, la Australian Law Reform Commission a exhortĂ© le gouvernement australien Ă  promulguer une loi sur le signalement en cas d’atteinte Ă  la sĂ©curitĂ© des donnĂ©es.

Ă€ la Commission europĂ©enne, une directive sur la vie privĂ©e et les communications Ă©lectroniques, qui comporte une disposition sur la notification en cas d’atteinte Ă  la sĂ©curitĂ© des donnĂ©es s’appliquant aux fournisseurs publics de services Web, fait l’objet de dĂ©bats.

Au pays, Industrie Canada travaille Ă  instaurer un rĂ©gime provisoire de signalement en cas d’atteinte Ă  la sĂ©curitĂ© des donnĂ©es, sur recommandation du comitĂ© parlementaire qui a procĂ©dĂ© Ă  l’examen gĂ©nĂ©ral de la LPRPDE, la loi fĂ©dĂ©rale sur la protection des renseignements personnels dans le secteur privĂ©.

Le régime comporte deux volets : la notification des particuliers et la notification du Commissariat à la protection de la vie privée.

Le modèle proposĂ© nous convient dans l’ensemble : il s’agit d’un rĂ©gime plus nuancĂ© que celui instituĂ© par la plupart des États amĂ©ricains, fondĂ© sur le prĂ©judice et rĂ©ceptif aux dĂ©fis que pose une dĂ©finition Ă©largie de ce que constitue une « atteinte Ă  la sĂ©curitĂ© des donnĂ©es ».

Selon ce modèle, les organisations seraient tenues de signaler au Commissariat toute « atteinte importante Ă  la sĂ©curitĂ© des donnĂ©es » — cette formulation nous convient. Cela signifie que nous recevrons plus d’avis que les particuliers, ce qui nous permettra de jouer un rĂ´le important au chapitre de la surveillance et de la politique publique.

Bien entendu, ce régime ne toucherait que les organisations assujetties à la loi fédérale; Industrie Canada étudie donc la question avec les administrations provinciales dotées de lois essentiellement similaires en matière de protection des renseignements personnels.

Une approche commune simplifierait la tâche des entreprises devant réagir à une atteinte à la sécurité des données et garantirait que les consommateurs canadiens jouissent des mêmes avantages, peu importe leur lieu de résidence.

Ă€ ce jour, l’Ontario est la seule province ayant adoptĂ© une disposition de signalement obligatoire en cas d’atteinte Ă  la sĂ©curitĂ© dans le cadre de sa Loi sur la protection des renseignements personnels sur la santĂ©.

L’Alberta et la Colombie-Britannique ont aussi procĂ©dĂ© Ă  l’examen de leurs lois respectives en matière de protection des renseignements personnels, et les comitĂ©s lĂ©gislatifs des deux provinces ont recommandĂ© l’ajout d’exigences relatives au signalement.

En fait, le comitĂ© de l’Alberta est allĂ© jusqu’Ă  proposer d’Ă©riger en infraction le fait de ne pas aviser la commissaire Ă  la protection de la vie privĂ©e d’une atteinte Ă  la protection des renseignements personnels lorsqu’il y a lieu de le faire.

En l’absence de lois fĂ©dĂ©rales sur le signalement obligatoire en cas d’atteinte, le Commissariat a Ă©laborĂ©, en collaboration avec des groupes de dĂ©fense des consommateurs et des groupes d’entreprises, une sĂ©rie de lignes directrices facultatives. 

Les lignes directrices dĂ©crivent les principales mesures Ă  prendre en cas de fuites de donnĂ©es, comme contenir l’atteinte, Ă©valuer les risques connexes, informer les personnes touchĂ©es et prĂ©venir les fuites futures.

Nous avons aussi conçu d’autres outils pour aider les organisations Ă  rĂ©agir en cas d’atteinte Ă  la sĂ©curitĂ© des donnĂ©es, y compris un formulaire de signalement accessible en ligne.

L’an dernier, nous avons dĂ©signĂ© un « agent Ă  la notification » au sein du Commissariat, afin de nous assurer que tous les rapports concernant des atteintes Ă  la sĂ©curitĂ© des donnĂ©es se rendent au mĂŞme endroit et sont traitĂ©s de manière uniforme.

Afin de mieux comprendre les causes et les consĂ©quences des atteintes Ă  la sĂ©curitĂ© des donnĂ©es, le Commissariat a analysĂ© 136 cas d’atteintes qui nous ont Ă©tĂ© volontairement signalĂ©es entre 2006 et 2008.

Nous avons constatĂ© que le nombre d’atteintes signalĂ©es est passĂ© de 23 en 2006 Ă  48 en 2007, et s’Ă©levait Ă  65 l’an dernier.

Cela ne signifie pas qu’il y ait davantage d’atteintes aujourd’hui, mais simplement que davantage des cas nous sont signalĂ©s depuis que nous avons publiĂ© les lignes directrices sur le signalement en cas d’atteinte Ă  la sĂ©curitĂ© des donnĂ©es en 2007.

Nos donnĂ©es rĂ©vèlent que l’industrie bancaire reprĂ©sente la part du lion pour ce qui est des signalements d’atteintes Ă  la sĂ©curitĂ© des donnĂ©es au Commissariat, qui sont trois fois plus nombreux que pour le groupe qui le suit en importance, soit les courtiers en hypothèque.

Ce rĂ©sultat s’explique par le fait que les banques ont adoptĂ© des politiques sur le signalement au Commissariat, contrairement aux autres secteurs. Les banques dĂ©tiennent aussi plus de renseignements personnels sur leurs clients et procèdent Ă  infiniment plus de transactions que n’importe quel autre secteur.

Dans notre analyse, nous avons classé les atteintes selon quatre « catégories ».

L’accès, l’utilisation ou la communication non autorisĂ©s, forcĂ©ment le fruit d’une intention ou d’un geste dĂ©libĂ©rĂ©, reprĂ©sentaient le type d’atteintes le plus frĂ©quent au cours de la pĂ©riode visĂ©e par l’Ă©tude, comptant pour 36 % de tous les incidents signalĂ©s au Commissariat. C’est la catĂ©gorie des atteintes causĂ©es par l’accès non autorisĂ©.

La catĂ©gorie des atteintes accidentelles, qui comptaient pour un peu plus de 30 % des signalements reçus, comportait les erreurs d’envoi postal, le retrait inadĂ©quat des renseignements personnels et les courriels et tĂ©lĂ©copies envoyĂ©s par erreur.  

Le vol de renseignements personnels constituait la troisième catĂ©gorie d’atteintes la plus frĂ©quente, comptant pour près du quart des incidents signalĂ©s au Commissariat. Des portables et de l’Ă©quipement informatique Ă©taient dĂ©robĂ©s dans environ la moitiĂ© des cas, et des documents papier saisis dans l’autre. Cette catĂ©gorie ne s’analyse pas facilement puisque, dans certains cas, le vol visait l’Ă©quipement informatique et non les donnĂ©es que celui-ci contenait. Les organisations ne sont pas toujours en mesure de dĂ©terminer l’objet du vol.

Enfin, la quatrième catĂ©gorie regroupait les cas de perte de renseignements personnels consignĂ©s sur support papier, numĂ©rique ou audio, que l’information ait Ă©tĂ© diffusĂ©e ou non. De telles pertes comptaient pour un dixième des incidents signalĂ©s au Commissariat. L’incident de la CIBC–Talvest entrerait dans cette catĂ©gorie.

Nous nous sommes aussi penchĂ©s sur les responsables des cas d’accès, d’utilisation ou de communication non autorisĂ©s et sur leurs motifs.

Nous avons constatĂ© que le personnel des organisations Ă©tait Ă  blâmer dans les deux tiers des incidents, et les employĂ©s de tiers fournisseurs de services, dans 10 % des cas restants. Autrement dit, des employĂ©s peu scrupuleux Ă©taient responsables de près de 80 % des cas d’accès, d’utilisation ou de communication non autorisĂ©s signalĂ©s au Commissariat au cours de cette pĂ©riode.

Fait inquiétant, la fraude constituait le motif dans neuf cas sur dix.

Nous avons aussi examinĂ© de plus près la catĂ©gorie des « atteintes accidentelles », et nous avons constatĂ© que dans la grande majoritĂ© des cas, il s’agissait tout bonnement d’erreurs humaines.

Il n’y a lĂ  rien de surprenant; après tout, l’erreur est humaine. Il est toutefois plus Ă©tonnant d’apprendre que la technologie dĂ©joue moins de gens qu’on pense.

En fait, la faute non technique la plus courante que nous ayons relevĂ©e Ă©tait la simple erreur d’envoi de courrier, de tĂ©lĂ©copie et de courriel.

Nous avons observĂ© que pour l’ensemble des incidents, de multiples facteurs entraient souvent en jeu. Permettez-moi de mentionner les principaux.

L’un des problèmes les plus frĂ©quents avait trait Ă  une sĂ©curitĂ© informatique inadĂ©quate, un facteur observable dans tous les cas d’utilisation ou de communication non autorisĂ©es de renseignements personnels, ou d’accès indu Ă  ceux-ci.

La technologie Ă©volue constamment; les organisations doivent donc s’assurer que leurs systèmes de sĂ©curitĂ© continuent de rĂ©pondre aux besoins en matière de protection des renseignements personnels.

Les lacunes au chapitre de la sécurité matérielle des lieux où les renseignements personnels sont conservés constituaient aussi un facteur, notamment dans le cas de vol ou de perte.

Le troisième principal facteur relevĂ© Ă©tait le manque de sensibilisation et de formation des employĂ©s, qui a de toute Ă©vidence jouĂ© un rĂ´le dans les erreurs d’envoi de courrier, de courriel et de tĂ©lĂ©copie mentionnĂ©s plus tĂ´t. Un sondage commandĂ© par le Commissariat en 2007 a rĂ©vĂ©lĂ© que seul le tiers des entreprises avaient formĂ© leur personnel sur leurs pratiques et leurs responsabilitĂ©s en vertu des lois sur la protection des renseignements personnels du Canada. 

Cette Ă©tude ne brosse le tableau que d’une pĂ©riode prĂ©cise. Elle ne rĂ©vèle pas combien d’atteintes se sont produites puisque le signalement au Commissariat n’est pas obligatoire. De plus, les lignes directrices facultatives sur le signalement en cas d’atteinte n’Ă©taient pas encore publiĂ©es pendant une partie de la pĂ©riode visĂ©e par l’Ă©tude. 

Bref, l’Ă©tude n’a peut-ĂŞtre pas grande valeur probante, mais elle nous montre tout de mĂŞme les types de facteurs qui contribuent aux fuites de donnĂ©es, et je crois que nous pouvons en tirer des conclusions intĂ©ressantes et des leçons importantes.

Tout d’abord, comme l’inconduite du personnel et des tiers fournisseurs de services joue un rĂ´le dans de nombreux cas, les organisations devraient s’assurer que leurs politiques en matière de vie privĂ©e et de sĂ©curitĂ© sont efficaces et rigoureusement appliquĂ©es.

Ensuite, il est essentiel que les organisations comblent les lacunes possibles en matière de sĂ©curitĂ©, en ce qui a trait tant aux lieux et aux installations physiques qu’aux systèmes Ă©lectroniques.

Enfin, la formation et la sensibilisation permanentes des employĂ©s sont primordiales, Ă  la lumière des nombreux cas oĂą l’erreur humaine a donnĂ© lieu Ă  des fuites de donnĂ©es. Il faut aussi garder Ă  l’esprit que dans la plupart des cas, les technologies utilisĂ©es Ă©taient remarquablement simples.

Je tiens Ă  souligner qu’en cette pĂ©riode de ralentissement Ă©conomique, les entreprises qui cherchent Ă  rĂ©duire leurs coĂ»ts doivent rĂ©sister Ă  l’envie de sabrer dans les dĂ©penses relatives Ă  la sĂ©curitĂ© et Ă  la protection des renseignements personnels.

Ă€ une Ă©poque oĂą les criminels sont susceptibles de chercher Ă  tirer profit des faiblesses dĂ©celĂ©es, les mesures de rĂ©duction de coĂ»ts des entreprises pourraient s’avĂ©rer improductives. Des Ă©tudes ont dĂ©montrĂ© qu’il est beaucoup moins coĂ»teux de mettre en place de bonnes mesures de sĂ©curitĂ© dès le dĂ©part que de rĂ©parer les dommages causĂ©s par une atteinte Ă  la sĂ©curitĂ© des donnĂ©es.

Nous sommes toutefois rassurĂ©s par le fait que de nombreuses entreprises nous ont fait part de leur engagement Ă  l’Ă©gard de la protection des renseignements personnels, qu’elles perçoivent comme un avantage concurrentiel.

Lorsque le Commissariat est informĂ© d’une atteinte Ă  la sĂ©curitĂ© des donnĂ©es, que ce soit par l’entreprise elle-mĂŞme ou par une tierce partie, il ouvre un dossier sur l’« incident ».

Un enquĂŞteur veille ensuite au suivi de l’incident; il s’agit d’un processus moins approfondi qu’une enquĂŞte. En fait, l’enquĂŞteur cherchera Ă  connaĂ®tre les dĂ©tails de l’incident et les mesures prises pour rĂ©gler le problème et pour empĂŞcher que la situation se reproduise et Ă  savoir si l’entreprise a avisĂ© les personnes concernĂ©es ou envisagĂ© de le faire.

Nous pouvons faire des suggestions Ă  l’organisation. Le Commissariat possède beaucoup d’expertise dans ce domaine.

Nous ne formulons pas de conclusions, mais vous recevrez une lettre du Commissariat au moment de la fermeture du dossier.

Le signalement ne constitue pas une carte blanche!

Parfois, des dossiers d’incident se transforment en dossiers d’enquĂŞte.

Cette situation peut survenir lorsque le Commissariat Ă  la protection de la vie privĂ©e reçoit une plainte d’un particulier concernant une atteinte Ă  la sĂ©curitĂ© des donnĂ©es.

Ă€ l’occasion, la commissaire peut elle-mĂŞme prendre l’initiative d’une plainte. Cela ne se produit que dans des circonstances exceptionnelles, notamment lorsqu’il s’agit d’une atteinte très grave ou d’une atteinte gĂ©nĂ©ralisĂ©e, ou lorsque l’organisation ne semble pas intervenir de manière adĂ©quate.

Nous avons rĂ©cemment entrepris trois vĂ©rifications relativement Ă  une pratique gĂ©nĂ©ralisĂ©e qui semble impliquer des activitĂ©s criminelles Ă  l’Ă©chelle d’un secteur d’une industrie.

Je tiens aussi Ă  souligner qu’en l’absence d’un rĂ©gime de signalement obligatoire, le Commissariat est susceptible d’avoir une perception positive des organisations qui signalent volontairement les atteintes Ă  la sĂ©curitĂ© des donnĂ©es.

Celles qui ne communiquent pas avec nous le font sans doute par crainte de la mauvaise publicitĂ© ou des mesures d’application que pourrait prendre le Commissariat.

Les organisations hĂ©sitent peut-ĂŞtre aussi Ă  signaler les atteintes de peur que les renseignements qu’elles fournissent soient dĂ©voilĂ©s en vertu de la Loi sur l’accès Ă  l’information.

 Ces craintes se révèlent souvent exagérées. Voici comment le Commissariat procède :

L’accès Ă  toute information au dossier est refusĂ© jusqu’Ă  ce que l’examen de l’incident soit terminĂ© et tous les recours possibles Ă©puisĂ©s.

Une fois l’examen de l’incident terminĂ©, la Loi sur l’accès Ă  l’information nous oblige Ă  envisager de rendre publics certains renseignements, mais seulement les documents rĂ©digĂ©s par le Commissariat au cours de l’enquĂŞte, comme des notes de service, des rapports et des notes au dossier.

Les renseignements fournis par l’organisation mise en cause au cours de l’enquĂŞte ou de la vĂ©rification sont soustraits Ă  la communication aux termes du paragraphe 16.1 de la Loi sur l’accès Ă  l’information, mĂŞme après que l’enquĂŞte a pris fin. Ce scĂ©nario diffère de celui d’une enquĂŞte exhaustive, oĂą une lettre de constatation est Ă©mise.  

Dans le mĂŞme ordre d’idĂ©es, si l’incident prĂ©sente beaucoup d’intĂ©rĂŞt pour le public et a dĂ©jĂ  fait l’objet de l’attention des mĂ©dias, le Commissariat pourrait, Ă  la fin de l’enquĂŞte, divulguer des renseignements contenus dans les rapports qu’il a crĂ©Ă©. Cependant, la Loi sur l’accès Ă  l’information nous permet de soustraire certaines portions de l’information Ă  la communication, comme les comptes rendus de consultations et de dĂ©libĂ©rations, de mĂŞme que les renseignements personnels et les renseignements concernant l’entreprise.

Lorsque j’envisage l’avenir, je reste persuadĂ©e que le Parlement agira bientĂ´t sur la question d’un rĂ©gime de signalement obligatoire en cas d’atteinte Ă  la sĂ©curitĂ© des donnĂ©es. En tout cas, des dĂ©putĂ©s de tous les partis politiques y ont clairement manifestĂ© leur appui au cours de l’examen en comitĂ© de la LPRPDE.

Bien qu’un rĂ©gime ne suffise pas Ă  Ă©liminer les atteintes Ă  la sĂ©curitĂ© des donnĂ©es, il contribuera sans doute Ă  accroĂ®tre la responsabilitĂ© et l’engagement des organisations Ă  l’Ă©gard de la protection des renseignements personnels qui leur sont confiĂ©s.

Entre-temps, le Commissariat se prĂ©pare Ă  gĂ©rer une augmentation prĂ©vue du nombre de cas d’atteintes et d’examens d’incident. Nous avons dĂ©jĂ  pris une sĂ©rie de mesures, y  compris l’Ă©mission de directives, l’embauche d’enquĂŞteurs supplĂ©mentaires et la rĂ©ingĂ©nierie de nos mĂ©thodes d’enquĂŞte.

Nous avons aussi commandé des travaux de recherche qui devraient nous éclairer sur ce qui nous attend.

Entre autres choses, ces travaux de recherche, dont nous espĂ©rons obtenir les rĂ©sultats au cours des prochains mois, devraient nous donner un aperçu du type et du volume d’incidents qui pourraient nous ĂŞtre rapportĂ©s dans le contexte d’un rĂ©gime de signalement obligatoire en cas d’atteinte Ă  la sĂ©curitĂ© des donnĂ©es.

Nous nous entretiendrons avec des groupes d’industries pour examiner leur rĂ´le dans la gestion des enjeux entourant les fuites de donnĂ©es — de la prĂ©vention au signalement, en passant pas l’attĂ©nuation des risques.

Nous examinons aussi comment le Commissariat peut contribuer Ă  cette Ă©volution, qu’il s’agisse de sensibiliser davantage le public ou de contribuer Ă  l’Ă©laboration de politiques publiques au moyen de la collecte de donnĂ©es ou de l’analyse des tendances.

Nous sommes bien conscients des dĂ©fis qui attendent les responsables de la rĂ©glementation chargĂ©s de la mise en œuvre du rĂ©gime.

Nous nous rĂ©jouissons Ă  l’idĂ©e de poursuivre le dialogue et nous vous invitons Ă  nous faire part de vos rĂ©flexions sur la question ou sur tout autre sujet qui vous prĂ©occupe.  

Entre-temps, je vous remets un document du Commissariat qui contient de l’information sur les atteintes Ă  la protection des renseignements personnels. Nos portes restent grandes ouvertes!

Accessible sur le site www.priv.gc.ca :

Agent à la notification des atteintes :

  • Par courriel : notification@privcom.gc.ca
  • Par tĂ©lĂ©phone : 613-947-1698 ou sans frais : 1-800-282-1376
  • Par courrier : 112, rue Kent, 3e Ă©tage, Ottawa (Ontario)  K1A 1H3