Nous vivons dans un monde de plus en plus informatisé et interconnecté où les atteintes à la protection des données sont devenues monnaie courante. La multitude de renseignements personnels que les sociétés ont en leur possession signifie que ce genre d’incident peut survenir même dans les circonstances les plus banales. Bien que de nombreuses sociétés aient mis en place des protocoles de cybersécurité et de protection de la vie privée à la fine pointe pour atténuer ces risques, les atteintes à la protection des données font partie du quotidien au 21e siècle.

Pour ce qui est des atteintes à la cybersécurité visant des renseignements personnels, nombre de gouvernements ont transféré aux sociétés le fardeau de la transparence concernant ces atteintes et de leur signalement aux autorités publiques. Les méthodes pour traiter de tels incidents abondent; de leur côté, les administrations canadiennes choisissent de plus en plus d’adopter dans leurs lois des dispositions de notification obligatoire en cas d’atteinte.

Au Canada, seule l’Alberta impose actuellement le signalement obligatoire des atteintes à la vie privée aux sociétés du secteur privé. Cependant, des exigences semblables entreront prochainement en vigueur à l’échelle fédérale.

LOI ALBERTAINE

Comme son nom l’indique, le signalement obligatoire des atteintes à la vie privée est un processus qui exige qu’une organisation informe l’autorité pertinente de toute atteinte à la vie privée et, le cas échéant, les personnes concernées par cette dernière.

Les dispositions de signalement obligatoire des atteintes à la vie privée en Alberta visant le secteur privé se trouvent dans la Personal Information Protection Act (la « PIPA »). L’article 34.1 de la PIPA oblige les organisations à aviser l’Office of the Information and Privacy Commissioner (l’« OIPC de l’Alberta ») de toute perte ou communication de renseignements personnels ou de tout accès non autorisé à ceux-ci, s’il est raisonnable de considérer que cela risque réellement de causer un grave préjudice à un particulier. Une fois avisé de l’incident, l’OIPC de l’Alberta passe en revue les renseignements pour déterminer si l’organisation doit aviser les personnes visées. Cela dit, de nombreuses organisations adoptent une approche proactive et avisent les personnes visées bien avant de recevoir une ordonnance à ce sujet de la part de l’OIPC de l’Alberta.

Il convient de noter que les organisations du secteur public de la santé seront bientôt soumises aux dispositions de signalement obligatoire des atteintes à la cybersécurité qui entreront en vigueur en vertu de la Health Information Act de l’Alberta (la « HIA »). Aux termes de l’article 60.1 de la HIA, les organisations devront aviser l’OIPC de l’Alberta et le ministère de la Santé de toute perte de renseignements sur la santé permettant d’identifier un particulier si cela risque réellement de lui causer un grave préjudice. L’exception au signalement s’applique lorsqu’il est raisonnable de croire que celui-ci risquerait de causer un préjudice à la santé mentale ou physique du particulier.

LOI FÉDÉRALE

Par ailleurs, des dispositions de signalement obligatoire des atteintes à la cybersécurité entreront prochainement en vigueur en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») fédérale. Aux termes de l’article 10.1 de la LPRPDE, les organisations seront tenues d’aviser le Commissariat à la protection de la vie privée (le « CPVP ») du Canada ainsi que les particuliers concernés de toute atteinte « s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave » à l’endroit d’un particulier. En outre, elles devront aviser d’autres organisations (comme les agences d’évaluation du crédit) ainsi que le gouvernement si un tel signalement permet d’atténuer les risques et les préjudices et tenir un registre de toutes les atteintes à la sécurité des renseignements personnels dont elles ont la gestion (un tel registre doit être fourni au CPVP sur demande). Le non-respect de ce nouveau protocole de la LPRPDE peut entraîner une amende pouvant s’élever jusqu’à 100 000 $ CA.

Atteintes à la protection des données récemment signalées en alberta

Depuis la mise en place en 2010 du signalement obligatoire en Alberta, les nombreuses atteintes à la protection des données ont entraîné l’application de ces exigences de signalement. Au fil des ans, ces incidents ont permis de tirer une conclusion : les atteintes peuvent survenir d’une multitude de façons. Voici un aperçu de trois décisions récemment rendues par l’OIPC de l’Alberta :

  • Cowboys Casino : Des pirates ont compromis le système informatique du casino et volé plus de 6,5 gigaoctets de renseignements personnels sensibles concernant des employés et des clients : ils ont ensuite menacé de publier les renseignements à moins de recevoir une rançon.
  • Godiva Chocolatier of Canada Ltd : La valise d’un employé dans laquelle se trouvait un ordinateur portable protégé par mot de passe (mais non chiffré) a été volée dans une voiture de location au Texas. L’ordinateur portable contenait possiblement des renseignements personnels; plus de 100 résidents de l’Alberta ont été visés par cet incident.
  • Big Fish Games : Dans cette affaire, un maliciel installé sur le système d’achat en ligne de l’organisation semblait intercepter les renseignements relatifs au paiement de certains clients de l’organisation. Plus de 350 particuliers albertains ont été touchés par cette atteinte.

Avec l’entrée en vigueur des lois fédérales en matière de signalement obligatoire des atteintes à la protection des données, il est à prévoir que ce genre d’incident sera également traité à l’échelle canadienne.

Considérations pratiques

Il importe que les organisations adoptent une approche proactive quant aux possibles atteintes à la protection des données. La plupart du temps, cela commence par l’élaboration et la mise en place d’un programme de gestion de la protection de la vie privée. Pour aider à l’élaboration d’un tel programme, le CPVP et ses contreparties provinciales de l’Alberta et de la Colombie-Britannique ont créé un document complet intitulé Un programme de gestion de la protection de la vie privée : la clé de la responsabilité.

En résumé, ce document établit les principes fondamentaux suivants pour un programme de gestion de la protection de la vie privée efficace :

  • Engagement de l’organisation : Il est essentiel que les organisations s’engagent à mettre en place des protocoles de gestion de la protection de la vie privée. Pour ce faire, la direction devrait soutenir activement des initiatives en matière de protection de la vie privée, voire désigner un agent responsable de la protection de la vie privée pour surveiller leur réalisation. Une telle méthode consultative contribue à créer une culture de conformité.
  • Mesures de contrôle du programme : Les organisations doivent évaluer le type de renseignements personnels qu’elles détiennent et décider de leur utilisation. Ce faisant, elles pourront déterminer les moyens de protéger ces renseignements, puis élaborer leurs politiques en conséquence.
  • Outils d’évaluation du risqué : Puisque les exigences en matière de protection de la vie privée changent dans les administrations au fil du temps, les organisations devraient effectuer des évaluations du risque périodiquement pour s’assurer qu’elles respectent tous les aspects de la législation applicable.
  • Formation et sensibilisation : En sensibilisant adéquatement les membres de leur personnel afin qu’ils sachent comment évaluer les risques liés à la protection de la vie privée et comment répondre aux atteintes potentielles à la protection des données, les organisations peuvent réduire au minimum les préjudices, le cas échéant, et économiser des ressources importantes au fil du temps.
  • Protocoles d’intervention/de gestion en cas d’atteinte ou d’incident : Si une atteinte survient, les organisations devraient mettre en place une procédure et nommer une équipe responsable de la gestion de l’intervention.
  • Gestion des fournisseurs de services : Les organisations devraient savoir comment les tiers fournisseurs de services traitent les renseignements personnels qu’elles détiennent, surtout si le tiers en question exerce ses activités à l’étranger.
  • Évaluation et révision continues : Qui plus est, les organisations devraient régulièrement revoir leurs politiques et protocoles en matière de protection de la vie privée afin de s’assurer qu’ils sont à jour. De cette façon, toute préoccupation sera documentée et, s’il y a lieu, traitée.

En fondant leur programme de gestion de la protection de la vie privée sur ces principes, les organisations peuvent mettre en place de solides politiques internes qui non seulement sont conformes aux prochaines lois sur le signalement obligatoire des atteintes, mais qui les protégeront également d’atteintes éventuelles à la protection des données.