Écrit par Ruth Promislow and Katherine Rusk

Le Commissariat à l’information et à la protection de la vie privée de l’Ontario (CCIO) a publié son rapport annuel de 2018 : Privacy and Accountability for a Digital Ontario le mercredi 10 juillet 2019. Ce rapport signale un pas vers une surveillance réglementaire accrue et des attentes de la part du commissaire provincial. Les organisations de l’Ontario peuvent probablement s’attendre à une surveillance accrue de la façon dont elles recueillent, utilisent, transfèrent et communiquent des renseignements personnels.

Voici quelques-uns des principaux points à retenir du rapport pour les entreprises ontariennes :

Cyberattaques

L’OIPC signale une augmentation de la fréquence des incidents de rançongiciels, les municipalités et les établissements de soins de santé de l’Ontario étant des cibles particulières de telles attaques.

L’OIPC souligne la nécessité pour les organisations de mettre à jour régulièrement « les mesures en place pour sécuriser leurs systèmes et permettre la détection précoce » ainsi qu’un protocole pour faire face à l’attaque une fois qu’elle se produit. L’impartition du traitement des données à des tiers ne libère pas l’organisation d’origine de sa responsabilité en matière de protection des renseignements personnels.

La surveillance

L’OIPC signale l’utilisation accrue de la surveillance vidéo par le secteur public et le secteur privé comme un risque pour la vie privée de l’Ontario. Le CCIO guide les organisations à limiter la surveillance et la quantité de renseignements personnels recueillis et conservés afin d’établir un équilibre entre la protection de la vie privée des personnes et la sécurité.

Villes intelligentes

Se référant au développement des « villes intelligentes » et en particulier au Smart Cities Challenge du gouvernement fédéral, l’OIPC stipule que les données et la technologie ne devraient « pas se faire au détriment de la vie privée ». La protection de la vie privée ne devrait pas être traitée après coup – elle doit être intégrée au plan dès le début.

Pour les entreprises impliquées dans les villes intelligentes, l’OIPC recommande les considérations suivantes: éviter « la technologie pour le bien de la technologie »; rappelez-vous que la responsabilité incombe à l’institution d’origine lors de l’externalisation; dé-identifier les données personnelles lorsque cela est possible; engager la communauté; et être transparent.

Intelligence artificielle

Le rapport remarque favorablement un projet pilote où « l’intelligence artificielle a été utilisée pour détecter et interpréter l’activité du réseau d’une manière qui ne serait pas possible grâce à un audit manuel et à d’autres mécanismes de prévention ». En particulier, l’OIPC est optimiste quant à l’utilisation de l’intelligence artificielle pour améliorer les taux de détection, améliorer la précision et traiter les accès non autorisés, ce qui pourrait entraîner moins d’atteintes à la protection des données.

Télécopieurs

6 000 des 11 000 atteintes à la vie privée des renseignements sur la santé signalées en 2018 étaient le résultat de télécopies mal acheminées. Le CIPVP recommande aux organismes de soins de santé de l’Ontario de « réduire ou d’éliminer la dépendance aux télécopieurs ». Les entreprises privées de l’Ontario voudront peut-être aussi envisager de suivre ces lignes directrices.

Conclusion

Ces récentes directives de l’OIPC reflètent la tendance croissante au Canada (et dans le monde) vers une surveillance réglementaire accrue des questions de protection de la vie privée, et les attentes accrues des organisations publiques et privées. Voici un aperçu général de ces attentes :

• insérez la confidentialité dans vos opérations;
• évaluez régulièrement vos risques et vos vulnérabilités afin de comprendre les sources potentielles d’une attaque (étranger hostile; employé mécontent; employé négligent; etc.), et comment ces risques pourraient se matérialiser;
• poser les questions pertinentes telles que :
  • Formez-vous régulièrement vos employés sur la protection de la vie privée et la cybersécurité?
  • Avez-vous une politique de mot de passe? Votre politique de mot de passe est-elle à jour?
  • Chiffrez-vous les données sensibles ?
  • Avez-vous besoin d’une authentification multifacteur pour l’accès à distance ?
  • Les fichiers papier contenant des renseignements personnels sont-ils protégés?
  • Pouvez-vous exclure les étrangers de vos locaux physiques et les détecter s’ils entrent?
  • Limitez-vous la collecte de renseignements personnels autant que possible?
  • Limitez-vous l’accès aux renseignements personnels à ceux qui en ont besoin?
  • Avez-vous un consentement valide et valable de la part de personnes concernant la collecte, l’utilisation, le transfert et la communication de leurs renseignements personnels?
  • Détruisez-vous tous les renseignements personnels une fois que vous n’en avez plus besoin?
  • Savez-vous quelles mesures de protection sont utilisées par tous les tiers avec lesquels vous passez un contrat pour traiter ou stocker les renseignements personnels que vous avez recueillis?
  • Savez-vous qui appeler en cas de violation de données ou d’incident de sécurité?
• prendre des mesures raisonnables pour faire face à vos risques et vulnérabilités;
• reconnaître qu’un manquement d’un tiers retenu pour traiter les renseignements personnels demeure de votre responsabilité et faire face à ce risque au moyen de modalités contractuelles;
• mettre en œuvre des mesures de détection précoce d’une attaque; et
• ayez un plan d’intervention en cas d’incident en place afin d’avoir un plan bien pensé et répété sur la façon de traiter une violation.

Traitez ces risques commerciaux critiques avec l’aide d’experts juridiques et médico-légaux avant une attaque. Cela permettra à votre organisation d’économiser les frais d’être pris au dépourvu. Être proactif réduit non seulement le risque d’être soumis à une attaque; il réduit également l’exposition potentielle d’une attaque.

Si vous souhaitez obtenir de plus amples renseignements ou conseils sur les questions de protection de la vie privée et de cybersécurité, l’équipe Équipe de protection des données et de protection de la vie privée de Bennett Jones est disponible pour vous aider.