Une vue de l’intérieur
Pendant les cinq ans et demi où j’ai dirigé le travail du Commissariat à la protection de la vie privée du Canada (CPVP), j’ai lu plus de signalements d’incidents du secteur public et du secteur privé que je ne peux compter. Dépendamment de la gravité de l’incident, jugée selon la sévérité des conséquences potentielles pour les individus et de l’ampleur des manquements de l’organisation, certains ne faisaient l'objet que d’un accusé de réception, d’autres étaient résolus, d’autres menaient à une enquête. À partir de cette expérience, j’ai observé trois vulnérabilités principales qui traversent les catégories d’organisations.
Cet article vise à partager cet aperçu de l’intérieur comme une « mise en alerte » sur les vulnérabilités à surveiller en matière de protection des données personnelles. C’est également une observation des meilleures pratiques en ce sens.
Cette observation n’est une surprise pour personne. Au mieux, vous êtes sûrs maintenant que vous n’êtes pas seuls. La sophistication et le volume des cyberattaques sont tels qu’ils paralysent même les organisations les plus puissantes et les mieux munies. Dans chaque cas, cependant, quels que soient la taille ou le statut de l’organisation, les intrusions à la cybersécurité révèlent des manquements à cet égard.
Mes commentaires à ce sujet ressortent d’un composite de cas et des tendances qu’il révèle. Mon expérience et mes discussions avec des gestionnaires m’amènent à mettre les organisations en garde face à deux erreurs courantes à l’égard de la cybersécurité : la sous-estimation du risque et la caractérisation de la cybersécurité comme étant une question strictement technologique.
Oui, ça prend un voleur pour prendre un voleur. Les gens honnêtes ne présument pas de la malhonnêteté ou des intentions malicieuses. Un PDG équilibré imagine difficilement qu’un jeune solitaire puisse trouver amusant de perturber l’infrastructure technologique d’une compagnie. De plus, trop de gens d’affaires, étant plus intéressés par les affaires que par les tendances de la criminalité, ne sont pas conscients de l’ampleur de l’économie clandestine du vol de données personnelles et de son caractère hautement lucratif. Le résultat est une attention et des investissements insuffisants face à la cybersécurité dus à la sous-estimation du risque.
Au fil des ans et de mes conversations avec des gens d’affaires à travers le pays, j’ai retiré quelques points saillants de la sous-estimation du risque :
Dans tous les cas, une plus grande acuité aux tendances de la criminalité, une diligence accrue à la sécurité de l’information et une meilleure intégration de la sécurité de l’information à la gestion de l’entreprise auraient épargné à l’organisation des dépenses et de l’embarras.
Le gouvernement fédéral ne fait pas exception dans cet engouement pour la technologie au-devant d’une estimation complète du risque. Dans le Rapport de vérification que j’ai supervisé en 2010 sur l’utilisation des technologies sans fil dans certaines entités fédérales, le CPVP a conclu qu’aucune d’entre elles n’avait effectué une évaluation de la menace et du risque (EMR) complète avant d’adopter la technologie. Il ne serait pas déraisonnable d’extrapoler cette conclusion au secteur privé. Au minimum, elle sert de mise en garde à tous face à la sous-estimation du risque.
Au CPVP, les technologues m’ont appuyée dans de nombreux dossiers complexes. Ils m’amenaient souvent à la conclusion qu’un incident technologique n’était pas nécessairement causé par une défaillance de l’infrastructure technologique mais par l’absence d’une démarche qui place la cybersécurité dans un écosystème multidimensionnel. Ils m’ont appris que la cyber-sécurité repose sur un écosystème de protection regroupant quatre grandes composantes : i) contrôles physiques (verrous, limites d’accès, supervision de l’accès…); ii) contrôles techniques (chiffrement, autorisations d’accès, EMR…); iii) contrôles administratifs (gestion du matériel, inventaire, identification de l’équipement…) et iv) sécurité du personnel (compétence, formation, supervision et mesures disciplinaires…). Comme tout écosystème, les composantes sont interdépendantes et lorsqu’une échoue, toutes échouent. L’enquête du CPVP que j’ai rendue publique en 2014 sur la perte d’un disque dur contenant l’information financière de près de 600 000 Canadiens par le ministère de l’Emploi et du Développement social (EDSC) en est une bonne illustration.
En résumé, l’enquête a mis en lumière les faits suivants : les renseignements personnels relatifs à des prêts étudiants, donc incluant des renseignements financiers, avaient été consignés à un disque dur, amovible. Le disque ne portait aucune identification, n’était pas chiffré et avait été rangé dans un tiroir non verrouillé. Personne n’était précisément responsable de la protection du disque, les employés n’étaient pas conscients de son contenu ni de sa vulnérabilité; le disque ne pouvait être retracé par la gestion du matériel et personne ne pouvait le retracer, ou du moins, personne ne l’a fait.
Pourtant l’enquête a également fait ressortir qu'EDSC avait des politiques et structures de gouvernance pour la protection des données personnelles robustes. Le ministère avait également une infrastructure technologique solide.
C’est dans l’interdépendance des composantes de l’écosystème que la protection des renseignements personnels a échoué : des politiques exigeant la protection physique du matériel avaient été développées mais n’ont pas été suivies et n’ont pas fait l’objet de supervision adéquate; les critères technologiques étaient édictés mais n’étaient pas mis en œuvre ni supervisés; la gestion de l’équipement était déficiente et la formation des employés à l’égard de la protection des données personnelles n’était pas à la hauteur de leurs responsabilités.
Ce qui m’a le plus frappée de cette enquête c’est qu’elle met en cause une organisation à la fois sophistiquée et très consciente de ses obligations au regard de la protection des données personnelles. Cependant, la cybersécurité n’était pas suffisamment intégrée à la gestion générale du ministère à tous les niveaux. L’intégration aurait donné lieu à une plus grande vigilance au regard de la formation, de la supervision et de l’exercice de contrôles continus, essentiels à la protection des renseignements personnels.
À mon avis, cet exemple est une leçon pour nous tous. J’ai fait écrire le rapport d’enquête comme un manuel de référence pour toute organisation détenant des renseignements personnels. Il peut donc servir de guide à tout type d’organisation, publique ou privée.
L’enquête à propos d’EDSC illustre également cette deuxième grande vulnérabilité que j’ai notée : dans ce cas, comme dans bien d’autres, c’est l’erreur humaine qui a fait échec au régime de protection des renseignements personnels. L’erreur humaine est en fait la cause principale d’incidents relatifs à la protection des données personnelles. Selon les incidents que j’ai pu observer, elle découle principalement de deux types de manquement : l’insuffisance de la littératie numérique et le manque de supervision.
La chaîne n’est aussi résistante que le plus faible de ses maillons et le manque de littératie numérique d’un employé peut abaisser les protections les plus élevées. De nombreux incidents démontrent les conséquences de l’insuffisance de la littératie numérique. Par exemple, un employé avait laissé sur le bureau d’un collègue, sans aucune forme de protection physique, une clé USB non chiffrée, contenant des renseignements très sensibles de près de 5 000 personnes, croyant que c’était plus sécuritaire que de les transmettre par courriel - la clé n’a jamais été retrouvée; d’autres protègent leurs appareils portables avec des mots de passe trop faibles (par exemple, 1,2,3,4) comme le CPVP l’a constaté dans sa vérification des technologies sans fil en 2010.
Dans aucun des cas qui m’ont été soumis je ne me rappelle de signes de malice. Au contraire. Nous étions face à un employé contrit, mais ignorant de la technologie mise à sa disposition. Le manquement de l’organisation était de confier à un employé des outils technologiques sans assurer le niveau de connaissances pour l’utiliser.
Une vérification et une enquête que j’ai dirigées au CPVP illustrent cette vulnérabilité.
La vérification d’une entreprise a mis en lumière qu’elle possédait un régime robuste de politiques et de protection des données personnelles mais n’assurait pas la régularité de supervision nécessaire à leur mise en œuvre. À titre d’exemple, les politiques sur le rangement étaient claires, mais n’étaient pas suivies. Les directives étaient également précises quant au nettoyage pour revente d’ordinateurs usagés. Pourtant, les vérificateurs du CPVP ont trouvé, sur 149 ordinateurs examinés, que 54 étaient destinés à la revente alors qu’ils contenaient toujours les renseignements personnels de l’ancien propriétaire.
Cet écart entre le cadre de politiques et son application fait ressortir l’importance de la supervision. Depuis ce rapport de vérification, la compagnie a mis en œuvre toutes les recommandations du CPVP en ce sens.
L’enquête qui me paraît pertinente ici en est une dont il est ressorti qu’un employé avait mis en circulation un produit sans en évaluer les répercussions sur la protection de la vie privée. Et personne n’a vérifié.
Même en acceptant que les données personnelles avaient été recueillies par inadvertance, il y a tout de même eu une défaillance de la structure de gouvernance et dans la supervision des répercussions relatives à la vie privée. L’entreprise n’avait pas, à ce moment, la structure de gouvernance apte à assurer la conformité au droit à la vie privée, ni les mécanismes de supervision pour le vérifier. Depuis, la compagnie a mis en œuvre les recommandations du CPVP à cet égard.
L’arrêt Jones c. Tsige (Cour d’Appel de l’Ontario 2012) n’est qu’un cas parmi tant d’autres. Une employée de banque a été condamnée à verser des dommages-intérêts pour violation de la vie privée. Elle avait consulté le dossier financier d’une autre personne, à plus de 100 reprises, à des fins personnelles.
Les commissaires à la vie privée à travers le Canada reçoivent ce type de plaintes, trop souvent bien fondées. Les grandes tendances s’articulent autour d’enjeux sentimentaux et financiers : les employés épient les activités financières de leurs ex-conjoints ou des nouveaux conjoints de leur ex-conjoint; une s’était permis de fouiller dans le dossier médical d’un ancien amant, une autre avait accédé au dossier fiscal de près de 200 personnes directement ou indirectement reliées à une nouvelle conquête; un autre avait accédé aux données policières d’un locataire potentiel avant de signer le bail; d’autres se sont amusés à révéler les déclarations de revenus de célébrités.
Les exemples abondent, à travers les organisations et le pays. Le défi, bien sûr, est d’assurer un régime d’autorisation d’accès assez large pour permettre le fonctionnement efficace de l’organisation, mais assez restreint pour éviter les abus.
Force est de constater que ce juste équilibre entre un régime d’autorisation fonctionnel et la protection de la vie privée reste encore à atteindre, pour beaucoup d’organisations. Au Canada, des abus répétés d’accès aux données personnelles détenues par une organisation peuvent mener à la détermination de motifs raisonnables pour procéder à une vérification par le CPVP. Espérons que ce rappel mobilise les organisations qui sont toutes affaiblies par cette vulnérabilité.
Si le nombre d’incidents, d’enquêtes et de vérifications m’a fourni un portrait des vulnérabilités, il m’a également indiqué certaines pistes de protection. Elles découlent des vulnérabilités que je viens de décrire :
Finalement, je vous renvoie au guide que j’ai développé avec les commissaires de l’information et de la vie privée de l’Alberta et de la Colombie-Britannique intitulé « Un programme de gestion de la protection de la vie privée : la clé de la responsabilité ». Ce guide vous donnera, j’espère, une démarche méthodique, vérifiable, pour parer aux vulnérabilités actuelles de la protection des données personnelles.
Me Chantal Bernier, Avocate-conseil, Dentons Canada S.E.N.C.R.L., Professionnelle en résidence, École supérieure d’affaires publiques et internationales, Université d’Ottawa, ancienne commissaire à la protection de la vie privée du Canada par intérim
Les courriels non sollicités et les autres renseignements envoyés à Dentons ne seront pas considérés comme confidentiels, pourraient être communiqués à des tiers ou ne pas obtenir de réponse et ne créent pas de relation avocat client. Si vous n’êtes pas un client de Dentons, vous ne devriez pas nous envoyer de renseignements confidentiels.
Ce contenu est disponible en anglais seulement. S'il vous plaît cliquer sur Continuer ci-dessous pour lire cela en anglais.
Vous quittez maintenant le site Web de Dentons. Vous serez redirigé vers le site Web de $redirectingsite en anglais. Pour continuer, cliquez sur « Continuer ».
Vous quittez maintenant le site Web de Dentons. Vous serez redirigé vers le site Web de Beijing Dacheng Law Offices, LLP. Pour continuer, cliquez sur « Continuer ».