Écrit par Martin P.J. Kratz QC

Le 1er novembre 2018 apporte la notification obligatoire des atteintes à la vie privée dans la loi fédérale sur la protection des renseignements personnels dans le secteur privé du Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), à la suite de la Loi sur la protection des renseignements personnels (PIPA) de l’Alberta, qui dispose d’une telle loi depuis 2010.

À quoi le Canada peut-il s’attendre lorsque le signalement des atteintes à la vie privée devient obligatoire plutôt que volontaire?

L’Australie a récemment mis en œuvre un système de violations de données à déclaration obligatoire (NDB) en vertu de la partie IIIC de la loi de 1988 sur la protection de la vie privée (Australie) établissant des exigences pour les entités dans la réponse aux violations de données. Les entités ont des obligations de notification des atteintes à la protection des données lorsqu’une atteinte à la protection des données est susceptible d’entraîner un préjudice grave pour toute personne dont les renseignements personnels sont impliqués dans l’atteinte. La portée du système australien comprend les agences du gouvernement australien, les grandes entreprises et les organisations à but non lucratif, les organismes d’évaluation du crédit, les fournisseurs de services de santé et autres.

Le Bureau du commissaire à l’information de l’Australie (OAIC) publie des rapports trimestriels qui fournissent un guide sur les atteintes signalées et qui peuvent être un point de données intéressant pour les Canadiens à prendre en compte alors que nous nous dirigeons vers la déclaration obligatoire des atteintes à la vie privée à l’échelle nationale. Voir « Notifiable Data Breaches Quarterly Statistics Report », juillet 2018, Office of the Australian Information Commissioner.

Une observation préliminaire est que le nombre d’atteintes signalées a augmenté dans un système obligatoire par rapport au système volontaire. Le Canada peut certainement s’attendre à cela aussi.

L’OAIC a constaté pour le deuxième rapport trimestriel 242 notifications d’atteintes à la protection des données, dont 59 % étaient dues à des attaques malveillantes ou criminelles, 36 % à des erreurs humaines et 5 % à des défaillances du système. L’OAIC a noté que les attaques comprenaient « des cyberincidents tels que l’hameçonnage, les logiciels malveillants, les ransomwares, les attaques par force brute, les informations d’identification compromises ou volées et le piratage par d’autres moyens, ainsi que l’ingénierie sociale ou l’usurpation d’identité et les actions prises par un employé voyou ou une menace interne. Le vol de paperasse ou de dispositifs de stockage a été une source importante d’attaques malveillantes ou criminelles.

Les incidents d’erreur humaine étaient des cas tels que des renseignements personnels envoyés au mauvais destinataire par courriel ou par la poste, des divulgations non autorisées et la perte d’un dispositif de stockage.

Les types de renseignements personnels en cause dans les atteintes à la protection des données étaient les suivants :

• 89 % des coordonnées, comme l’adresse domiciliaire, le numéro de téléphone ou l’adresse électronique d’une personne;
• 42% de détails financiers;
• 39 % des renseignements sur l’identité, comme les renseignements utilisés pour confirmer l’identité d’une personne, comme le numéro de passeport, le numéro de permis de conduire, etc.;
• 25 % d’information sur la santé;
• des numéros de dossier fiscal de 19 % (une autre forme d’identificateur); et
• 8 % d’autres renseignements de nature délicate.

Les principaux secteurs de l’industrie selon les notifications dans le rapport de l’OAIC étaient les suivants:

• 49 avis de fournisseurs de services de santé, dont 59 % étaient attribuables à une erreur humaine et 41 % à une attaque malveillante ou criminelle;
• 36 notifications dans le secteur financier dont 50% étaient dues à une erreur humaine et 47% à une attaque malveillante ou criminelle;
• 20 notifications dans le secteur des services juridiques, comptables et de gestion, dont 30% étaient dues à une erreur humaine et 60% à une attaque malveillante ou criminelle;
• 19 notifications dans le secteur de l’éducation, dont 47% étaient dues à une erreur humaine et 47% à une attaque malveillante ou criminelle;
• 15 notifications dans le secteur des entreprises et des associations professionnelles dont 20% étaient dues à une erreur humaine et 73% à une attaque malveillante ou criminelle.

L’une des premières leçons est le nombre important de violations dues à l’erreur humaine. Celles-ci suggèrent que les organisations maintiennent et élargissent la formation, les politiques et les procédures afin d’accroître la sensibilisation à ce risque évitable.

L’expérience de l’Australie suggère que les organisations canadiennes devraient revoir leurs politiques, pratiques et procédures en matière de protection de la vie privée afin de réduire d’abord au minimum les atteintes à la vie privée en raison d’une erreur humaine. Deuxièmement, les organisations canadiennes devraient maintenir une connaissance continue du nombre important d’attaques malveillantes ou criminelles et mettre en œuvre des politiques et des pratiques pour se défendre contre de telles attaques, les détecter lorsqu’elles se produisent et minimiser les dommages causés par un tel incident.

Il serait utile, dans le cadre de l’effort d’éducation à l’appui de l’état de préparation, de réduire au minimum et d’atténuer l’incidence des atteintes au Canada si le Commissariat à la protection de la vie privée du Canada envisageait une forme semblable de rapport sur les avis d’atteinte à la vie privée qu’il reçoit après le 1er novembre 2018.