Écrit par Ruth Promislow, Stephen Burns, Michael Whitt and Kate Rusk

Dans son rapport annuel au Parlement sur la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le Commissariat à la protection de la vie privée (CPVP) a réitéré ses appels précédents en faveur d’une réforme de la législation sur la protection des renseignements personnels. Bref, selon le CPVP, les lois canadiennes sur la protection des renseignements personnels n’offrent pas un niveau suffisant de protection du droit à la vie privée.

Appel à une application accrue de la réglementation

À l’appui de sa position selon laquelle les lois sur la protection de la vie privée sont désuètes, le CPVP fait référence aux lacunes mises en évidence par les enquêtes récentes sur les atteintes à la vie privée à grande échelle (Facebook et Equifax), ainsi que sur la pandémie et le virage correspondant vers une économie numérique. En lien avec la pandémie et la protection de la vie privée, le CPVP fait référence aux problèmes créés par les services de santé virtuels, la vidéoconférence et les applications de recherche des contacts. Cette dépendance accrue à l’égard de la technologie s’accompagne de questions liées à la protection de la vie privée.

Les principaux éléments de la réforme proposée par le CPVP sont les suivants :

• définir la protection de la vie privée comme un droit de la personne;
• mettre fin à l’autoréglementation;
• habiliter le commissaire à la protection de la vie privée à rendre des ordonnances exécutoires et à imposer des sanctions administratives corrélatives en cas de non-conformité; et
• des inspections proactives de la protection de la vie privée par le CPVP pour assurer une responsabilisation démontrable.

Comme l’a souligné le CPVP, ces éléments sont présents dans la législation sur la protection des renseignements personnels de nombreux partenaires commerciaux du Canada. Il est raisonnable de s’attendre à ce que le Parlement tantie les appels répétés du CPVP (et d’autres) en faveur d’une réforme de la loi sur la protection de la vie privée. Cela est particulièrement le cas compte tenu de l’annonce par le gouvernement fédéral de la Charte du numérique en 2019, qui comprenait un plan visant à moderniser la législation canadienne sur la protection des renseignements personnels afin de tenir compte de l’évolution des questions de protection de la vie privée avec la transition vers une économie numérique.

Le contexte dans lequel le CPVP émet ces recommandations comprend l’examen attendu par les organismes de réglementation étrangers de l’équivalence canadienne des protections pour les flux de données internationaux. Cela est particulièrement préoccupant compte tenu de la récente décision de la Cour de justice de l’Union européenne (CJUE), qui a invalidé le cadre du bouclier de protection des données UE-États-Unis. Plus de 5000 entreprises américaines se sont appuyées sur le cadre du bouclier de protection des données UE-États-Unis pour transférer et traiter les données de l’UE vers les États-Unis. La CJUE a estimé que les droits des résidents de l’UE en matière de confidentialité des données sont incompatibles avec l’approche des États-Unis en matière de confidentialité des données dans le contexte de la sécurité nationale.

Menaces à la cybersécurité dans le secteur privé

Le rapport annuel du Commissariat comprend des chiffres intéressants qui donnent une certaine visibilité sur l’état des questions de cybersécurité et de protection de la vie privée au Canada :

• Augmentation du nombre de signalements d’atteintes à la vie privée : En 2019-2020, il y a eu 678 signalements d’atteintes à la vie privée touchant environ 30 millions de comptes canadiens. C’est plus de six fois le nombre de signalements reçus l’année précédant l’obligation de signaler les atteintes à la vie privée.
• Utilisation des pouvoirs d’enquête : Le CPVP a accru son utilisation des pouvoirs d’enquête officiels, y compris les visites sur place, l’exigence de témoignages sous serment et l’émission d’une assignation à comparaître lorsque des enquêtes officielles étaient requises.
• Plaintes par industrie : 50 % de toutes les plaintes déposées auprès du CPVP en 2019-2020 provenaient de trois secteurs du secteur privé canadien : 19 % du secteur financier, 17 % des télécommunications et 14 % du secteur des ventes et de la vente au détail.
• Le CPVP a reçu un nombre accru de rapports d’atteinte à la vie privée de la part d’entreprises de télécommunications concernant l’accès non autorisé aux comptes des clients au moyen d’échanges de cartes SIM. Ceux-ci sont le résultat d’acteurs malveillants utilisant l’ingénierie sociale pour prendre en charge le numéro de téléphone d’un client et accéder à leurs appels téléphoniques et messages texte.
• Type d’attaques: Environ la moitié des violations signalées impliquaient un accès non autorisé par des acteurs malveillants ou des menaces internes, souvent à la suite d’espionnage d’employés ou de piratages d’ingénierie sociale. Les menaces internes comprennent à la fois les comportements malveillants et les comportements involontaires. Le fait que le personnel n’a pas vérifié correctement l’identité des personnes a entraîné de graves atteintes à la vie privée en raison de l’accès non autorisé aux comptes des clients.
• Menaces liées à l’hameçonnage et au génie social : Les campagnes ciblées d’ingénierie sociale comportant des stratagèmes d’hameçonnage et d’usurpation d’identité ont continué d’être l’une des principales causes d’atteintes signalées au CPVP.

Il est temps pour les organisations de se préparer

Les organisations canadiennes devraient mettre de l’ordre dans leurs affaires en ce qui concerne la protection de la vie privée et la gestion des renseignements personnels. Bien que les organisations canadiennes n’aient pas fait l’objet du même examen réglementaire sur les questions de protection de la vie privée et de sécurité des données que celles vécues aux États-Unis, il est raisonnable de s’attendre à ce que le mandat du CPVP évolue et qu’un tel examen soit bientôt un problème incontournable que les organisations canadiennes doivent aborder de façon proactive.

Se préparer aux risques de cybersécurité et à la conformité réglementaire aux obligations en matière de confidentialité et de sécurité des données ne consiste pas seulement à disposer de la bonne technologie. La technologie ne vous protégera pas contre le fait qu’un employé clique sur un lien malveillant. Il ne vous protégera pas non plus contre un initié hostile ou un processeur tiers qui subit une violation. La technologie n’a rien à voir avec le fait qu’une organisation utilise des renseignements personnels à des fins inappropriées ou sans le consentement requis.

Être préparé signifie avoir une compréhension et une analyse approfondies du profil de risque pour votre organisation à partir de la collecte, de l’utilisation et de la divulgation de renseignements personnels, et un plan complet pour gérer ce risque. Les organisations devraient fonder cette analyse sur une évaluation de questions telles que (mais sans s’y limiter) les suivantes :

• l’étendue des renseignements personnels recueillis;
• le ou les régimes législatifs qui régissent la collecte, l’utilisation et la communication des renseignements;
• catégorisation de l’information en fonction des niveaux de sensibilité;
• les fins pour lesquelles les renseignements personnels sont recueillis et si ces fins sont permises en vertu de la législation applicable;
• si un consentement valable est obtenu des personnes concernées pour la collecte, l’utilisation et la divulgation de leurs renseignements;
• des mesures de protection opérationnelles, techniques et physiques en place pour protéger l’information;
• les employés qui ont accès à des renseignements personnels par rapport aux employés qui en ont besoin;
• la façon dont les renseignements personnels sont consultés et transmis, tant au bureau qu’à distance, et les risques correspondants à l’information;
• protocole permettant aux clients d’avoir accès à leurs dossiers;
• si les protections physiques des locaux se sont adaptées à l’évolution des technologies et des risques;
• le taux de réponse des employés aux attaques d’hameçonnage simulées;
• les questions couvertes par la formation des employés en cybersécurité par rapport aux principaux risques spécifiques pour l’organisation;
• les risques particuliers associés à l’erreur de l’employé (p. ex., fournir à un client des renseignements de nature délicate destinés à un autre);
• quelles informations personnelles sont transférées à des tiers pour le stockage et le traitement et comment le risque d’une attaque contre ce tiers est géré;
• s’il existe un plan d’intervention en cas d’incident qui a été mis à l’essai au moyen de scénarios de code rouge simulés avec l’équipe d’intervention en cas d’incident.

Un plan de gestion des risques conçu pour faire face aux risques et aux vulnérabilités particuliers d’une organisation devrait comprendre l’élaboration de politiques et de protocoles pour faire face aux risques qui sont propres à l’organisation, compte tenu de sa structure opérationnelle particulière.

Ignorer les risques associés à la gestion des renseignements personnels ne les fait pas disparaître. Cela les rend plus coûteux à traiter.

Pour obtenir de l’aide sur les questions de conformité réglementaire et de gestion des données, veuillez contacter le groupe Bennett Jones Privacy and Data Protection .