Si vous êtes un dépositaire de données de soins de santé qui fait l’objet d’une attaque de ransomware, vous devrez peut-être signaler l’incident aux organismes de réglementation et aux personnes dont les informations ont été soumises à l’attaque.
Les attaques de ransomware impliquent généralement qu’un pirate crypte les données de l’utilisateur jusqu’à ce que le dépositaire paie une rançon pour que le pirate fournisse une clé de déchiffrement. Le pirate n’est pas nécessairement en mesure de voir les données.
La partie I de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)1 du gouvernement fédéral ne s’applique pas aux dépositaires de données sur la santé qui recueillent, utilisent ou communiquent des renseignements personnels en Ontario. 2 Au lieu de cela, le stockage des données sur les soins de santé en Ontario est réglementé en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS)3, que le gouverneur en conseil du Canada a jugée essentiellement similaire à la LPRPDE. 4
Une fois que les règlements seront en place, le régime de la LPRPDE exigera un avis à la commissaire à la protection de la vie privée et aux personnes dont les données ont été compromises si une cyberattaque crée un risque réel de préjudice important pour la personne. On peut soutenir qu’une attaque de ransomware ne crée aucun risque de préjudice pour la partie dont les données sont cryptées si l’attaquant n’accède pas aux informations sous une forme déchiffrée. Par conséquent, les entités assujetties uniquement à la LPRPDE pourraient ne pas être tenues de signaler les attaques de rançongiciels.
Toutefois, contrairement au régime de la LPRPDE, en vertu des par. 12(2) et 12(3) de la LPRPS, les personnes et le commissaire à l’information et à la protection de la vie privée doivent être avisés si des renseignements personnels sont « volés ou perdus ou s’ils sont utilisés ou communiqués sans autorisation ». En règle générale, une attaque de ransomware n’entraîne pas la perte ou le vol de renseignements personnels. La question qui se pose est donc de savoir si une attaque de ransomware entraîne la divulgation des données personnelles.
Certains organismes de réglementation américains interprétant des régimes réglementaires similaires considèrent que les attaques de ransomwares entraînent une « divulgation ». 5 L’Office of Civil Rights of the Department of Health and Human Services des États-Unis, qui est responsable de la réglementation en vertu de l’American Health Insurance Portability and Accountability Act, a déclaré dans sa fiche d’information ce qui suit :
Lorsque les informations de santé électroniques protégées (ePHI) sont cryptées à la suite d’une attaque de ransomware, une violation s’est produite parce que l’ePHI crypté par le ransomware a été acquis (c’est-à-dire que des personnes non autorisées ont pris possession ou contrôle des informations), et est donc une « divulgation » non autorisée en vertu de la règle de confidentialité HIPAA. 6
Le Bureau des droits civils des États-Unis exige une notification aux personnes dont les informations ont été cryptées après une attaque de ransomware, à moins que le dépositaire n’ait précédemment correctement chiffré le « ePHI » dans les directives recommandées. 7
Bien que les organismes de réglementation canadiens n’aient pas publié de déclaration semblable, l’interprétation du Bureau des droits civils des États-Unis pourrait indiquer si une attaque de rançongiciel sera considérée comme une divulgation en vertu du régime de la LPRPS.
Un dépositaire de données sur les soins de santé qui ne se conforme pas à la LPRPS peut être assujetti à diverses ordonnances du commissaire à l’information et à la protection de la vie privée en vertu du sous-alinéa 61(1), y compris des ordonnances exigeant que l’organisation cesse de recueillir des données sur les soins de santé et mette en œuvre certaines pratiques en matière d’information.
De plus, le défaut de se conformer à la LPRPS pourrait être utilisé comme preuve dans des poursuites civiles connexes. Les dépositaires de données sur les soins de santé qui font l’objet d’une cyberattaque peuvent être tenus responsables en vertu de causes d’action de common law, y compris les délits délictuels pour atteinte à la vie privée. 8 Ces organisations peuvent être particulièrement vulnérables à la responsabilité à la suite d’une cyberattaque fondée sur des allégations selon lesquelles l’organisation a une obligation fiduciaire envers les personnes dont les renseignements sont stockés et a donc une obligation de diligence accrue.
Afin de minimiser les répercussions sur le front réglementaire ou d’éventuelles poursuites civiles, les organisations qui stockent des données sur les soins de santé et qui font l’objet d’une attaque par rançongiciel devraient consulter un avocat pour comprendre leurs obligations en matière de déclaration et de notification. 9
L’équipe de cybersécurité Bennett Jones est disponible pour vous aider.1 LS 2000, c 5, s 4.
2 Voir http://www.health.gov.on.ca/english/providers/project/priv_legislation/phipa_pipeda_qa.html#4.
3 2004 SO, c 3, Sched A. Voir aussi Health Information Act de l’Alberta, RSA 2000, c H-5.
4 Health Information Custodians in the Province of Ontario Exemption Order, DORS/2005-399.
5 Voir https://www.hhs.gov/sites/default/files/RansomwareFactSheet.pdf.
6 Ibid.
7 Ibid.
8 Voir Hopkins v Kay, 2015 ONCA 112.
9 De nouvelles modifications à la LPRPS entreront bientôt en vigueur, portant spécifiquement sur l’information électronique sur la santé. Ces dispositions s’appliquent à une approche semblable à celle qui existe déjà en vertu de la LPRPS.