Écrit par Ruth Promislow and Katherine Rusk

Le Toronto Sun a rapporté ce matin que la vie privée de 4 500 consommateurs de cannabis récréatif en Ontario a été compromise. Une personne non identifiée a accédé aux noms et adresses des personnes qui achetaient du cannabis sur le site Web de la Société ontarienne du cannabis (SOC), ainsi qu’aux noms des personnes qui ont signé pour la livraison du colis, au moyen de l’outil de suivi en ligne de Postes Canada à la fin d’octobre ou au début de novembre.

La SOC a avisé les consommateurs touchés et a signalé l’atteinte au Commissariat à la protection de la vie privée. PostesCanada a annoncé qu’elle avait corrigé l’échappatoire et que d’autres accès non autorisés ont été empêchés. Au cours de la montée en puissance de la légalisation et au cours des dernières semaines, la SOC a toujours accordé la priorité à la protection de la vie privée de ses consommateurs. Par exemple, son politique de confidentialité révèle un accent sur l’expédition, indiquant que « lorsque nous expédions des commandes, nous livrons dans un emballage discret et neutre, de sorte que la nature de votre achat n’est pas révélée. » La protection de la vie privée a été comme une préoccupation majeure pour de nombreux consommateurs de cannabis.

Mais même la société la mieux préparée peut être à risque lorsqu’un tiers fournisseur de services est lésé. Comprendre le risque d’une cyberattaque contre vos fournisseurs de services tiers fait partie intégrante de tout arrangement commercial.

Les consommateurs de cannabis récréatif en Ontario qui s’inquiètent de leur vie privée n’ont pas d’autre option d’achat légale pour le moment, car ils sont tenus d’acheter sur le site Web de la SOC et Postes Canada est le seul fournisseur d’expédition.

Les adresses et les noms des consommateurs sont généralement considérés comme des « renseignements personnels » en vertu de la Loi sur la protection des renseignements personnels du Canada, la LPRPDE. L’atteinte à la SCO met en évidence le risque d’attaques et d’incidents de cybersécurité survenant par l’entremise de fournisseurs de services tiers. Bien que certaines des tâches entourant la protection de la vie privée des consommateurs puissent être sous-traitées, la responsabilité ultime du maintien de la vie privée des consommateurs ne peut être déléguée.

Les fournisseurs tiers sont un facteur essentiel de la cybersécurité. Si vous êtes une organisation qui engage des fournisseurs de services tiers pour vous aider à traiter les renseignements personnels, vous devez vous protéger en vous assurant d’avoir une base enregistrée pour choisir le fournisseur tiers. Cela devrait également garantir que vous savez que le tiers a mis en place les mesures de protection appropriées. Les dispositions contractuelles avec des tiers devraient identifier des éléments tels que:

• son obligation de protéger les renseignements personnels;
• son obligation de vous informer des incidents de sécurité;
• votre capacité à superviser et potentiellement à auditer ses opérations en ce qui concerne les informations personnelles qu’il traite en votre nom;
• qui supporte le fardeau des coûts associés à un incident de sécurité des données; et
• toute exigence selon laquelle il doit souscrire une assurance cybersécurité pour couvrir les coûts associés à une atteinte à la vie privée.

Le bennett Jones Cybersecurity group peut vous aider à examiner vos préparatifs en matière de cybersécurité et de confidentialité pour vous assurer que votre organisation est prête pour une violation.