Voici le deuxième bulletin d’une série de deux qui passe en revue les directives réglementaires récentes formulées par le Canada et les États-Unis sur les normes en matière de cybersécurité dans le contexte des renseignements personnels sensibles. Dans le premier bulletin, publié le 12 janvier dernier, nous avons passé en revue les directives du Commissaire à la protection de la vie privée du Canada et du Commissaire à la vie privée de l’Australie (conjointement, les « Commissaires ») figurant dans le rapport qu’ils ont publié (le « Rapport ») concernant la violation des données d’Avid Life Media Inc. (« Avid »). Dans ce deuxième bulletin, nous passerons en revue des directives supplémentaires de l’U.S. Federal Trade Commission (la « FTC ») dans l’affaire LabMD, Inc. v. Federal Trade Commission (l’« avis de la FTC »), et tirerons certaines conclusions sur ce que les organismes de réglementation au Canada et aux États-Unis considèrent des pratiques raisonnables et convenables en matière de sécurité des données.
1. L’avis de la FTC : protection des réseaux et recours à des outils convenables d’évaluation des risques
L’avis de la FTC est utile en ce sens qu’il renforce l’importance de l’évaluation des risques, ce que les commissaires avaient également souligné dans le Rapport comme constituant un élément clé du processus de gestion des risques (qui, à son tour, formait l’une des trois exigences d’un cadre de gouvernance en matière de sécurité des renseignements).
À l’instar des commissaires, la FTC a cerné l’évaluation des risques comme constituant un point de départ fondamental de toute pratique en matière de sécurité des données. La FTC a fait état de trois exemples de sources énonçant la norme encadrant cette évaluation des risques :
a) Les règlements pris en vertu de la loi intitulée Health Insurance Portability and Accountability Act of 1996 (la « HIPAA »), lesquels exigent que des entités visées telles que LabMD, qui transmettent des renseignements sur la santé, « [TRADUCTION] procèdent à une évaluation exacte et exhaustive des risques et vulnérabilités éventuels touchant la confidentialité, l’intégrité et l’accessibilité de renseignements électroniques protégés en la possession de l’entité visée »[1], sont cernés comme offrant un « cadre de référence utile pour le comportement raisonnable »;
b) Les lignes directrices du National Institute of Science and Technology concernant la gestion des risques pour les systèmes des technologies de l’information, que la FTC cerne comme prévoyant un cadre de gestion des risques pour les systèmes des technologies de l’information qui comprend le contrôle de la présence de vulnérabilités;[2]
c) La norme sectorielle, depuis 2005, exigeant d’avoir recours à des systèmes de détection des intrusions et à des produits de surveillance de l’intégrité des fichiers afin d’évaluer les risques auxquels les réseaux sont exposés.
(i) Mesures de sécurité que LabMD avait en place
Dans le cadre de son enquête, la FTC a conclu que LabMD n’avait utilisé que les outils d’évaluation des risques suivants :
a) des programmes d’antivirus,
b) des registres de pare-feu,
c) des inspections manuelles des ordinateurs.
(ii) Mesures de sécurité que LabMD aurait dû avoir en place
Toutefois, la FTC a estimé que LabMD avait omis de déployer des processus convenables d’évaluation des risques et de protéger son réseau informatique, puisqu’elle avait manqué de faire ce qui suit :
a) se doter de systèmes de détection des intrusions;
b) effectuer une surveillance de l’intégrité des fichiers;
c) réaliser des essais de pénétration des systèmes avant l’atteinte à la sécurité des données en question;
d) dans le cadre des programmes d’antivirus, régulièrement mettre à jour les définitions des virus, ou d’effectuer des contrôles de virus et de les passer en revue;
e) effectuer des inspections manuelles afin de détecter des risques pour la sécurité, au lieu de juste répondre à des plaintes concernant le rendement des ordinateurs, ou de cerner plus qu’un éventail restreint de vulnérabilités (LabMD n’a pas instauré d’« inspections visuelles », avant la survenance de l’atteinte à la sécurité des données en question, et, encore, même les inspections des employés des TI ne suivaient aucune liste de contrôle écrite);
f) mettre en œuvre des pare-feu efficaces, puisque a) les pare-feu n’étaient pas configurés correctement, et b) les registres des pare-feu et des activités sur le réseau n’étaient pas examinés sauf dans le cadre du dépannage d’un problème (par exemple, aucun effort n’était déployé afin de surveiller le trafic sortant en ce qui a trait aux numéros de sécurité sociale).
2. L’avis de la FTC : restriction et surveillance des pratiques informatiques des utilisateurs
Le dernier manquement en matière de protection des renseignements personnels sur lequel l’avis de la FTC a attiré l’attention a été l’existence de restrictions insuffisantes de la part de LabMD applicables aux pratiques informatiques de ses utilisateurs et à la surveillance de celles-ci, et ce, afin de veiller à ce que ces utilisateurs suivent le principe de la communication de renseignements uniquement aux « personnes qui ont besoin de la connaître ».
La FTC a, une fois de plus, cerné deux repères étayant cette exigence :
a) le National Research Council, qui a recommandé que « [TRADUCTION] des procédures devraient être en place qui restreignent l’accès des utilisateurs uniquement aux renseignements qu’ils ont légitimement besoin de connaître »;
b) la loi HIPPA, qui exige que les entités visées mettent en œuvre des politiques et procédures en vue de l’autorisation de « l’accès à des renseignements électroniques protégés » et « afin d’empêcher à des membres de l’effectif qui n’y ont pas accès… d’obtenir un accès à des renseignements électroniques protégés sur la santé ».
(i) Mesures de sécurité que LabMD avait en place
Le manuel des employés de LabMD énonçait ce qui suit :
a) le partage non exigé de renseignements sur la santé était illégal,
b) les utilisateurs devaient obtenir une approbation avant d’ajouter des programmes à leur ordinateur ou d’en retirer.
(ii) Mesures de sécurité que LabMD aurait dû avoir en place
Toutefois, la FTC a estimé que LabMD n’avait pas, en pratique, restreint ou surveillé l’accès des employés aux renseignements personnels délicats des patients ni n’avait restreint les téléchargements par les employés afin de protéger le réseau. Plus précisément, LabMD :
a) avait désactivé la fonction sur son logiciel de renseignements de laboratoire qui empêchait aux employés d’accéder à des renseignements personnels qui n’étaient pas nécessaires dans le cadre de l’exercice de leurs fonctions, ce qui autorisait même des étudiants universitaires embauchés à temps partiel d’accéder aux renseignements médicaux et autres renseignements délicats des patients;
b) avait autorisé des représentants des ventes à utiliser les données d’ouverture de session de leurs clients médecins pour accéder à son logiciel de renseignements de laboratoire, ce qui donnait aux représentants commerciaux un accès aux renseignements sur les patients;
c) ne s’était pas dotée d’une politique d’élimination des données et n’avait jamais détruit des renseignements sur les patients ou sur la facturation qu’elle avait reçus depuis le début de ses activités, ce qui exacerbait le problème en augmentant énormément la quantité de renseignements personnels qu’elle détenait;
d) n’avait pas convenablement restreint ou surveillé ce que les employés téléchargeaient sur leurs ordinateurs au travail;
e) jusqu’à 2009 – soit l’année suivant la détection de l’atteinte à la sécurité des données – avait autorisé tant les membres de la direction que les employés du service des ventes de LabMD à avoir des droits en tant qu’administrateur à l’égard de leurs ordinateurs, les autorisant à modifier les paramètres de sécurité et à télécharger des applications logicielles et des fichiers de musique à partir d’Internet; et elle n’avait pas suivi la politique sur la surveillance logicielle (Software Monitoring Policy), qui faisait partie du manuel des politiques de LabMD, et qui prévoyait que le « fichier d’ajout/retrait de programmes » de chaque utilisateur serait examiné afin de veiller à ce qu’il s’agisse d’applications convenables pour cet utilisateur donné. L’avis de la FTC a observé que, si LabMD avait simplement suivi cette politique, le programme informatique qui a fini par causer la communication des données personnelles aurait été détecté ou son installation aurait été empêchée.
3. Conclusion
Le Rapport et l’avis de la FTC offrent certaines perspectives supplémentaires, à tout le moins, en ce qui concerne le Rapport, en vertu des lois sur la protection des renseignements personnels au Canada, et en ce qui concerne l’avis de la FTC, en vertu du droit américain, quant aux exigences qui doivent être respectées pour que les mesures en matière de sécurité des renseignements personnels d’une organisation soient jugées raisonnables et suffisantes dans le cadre de la collecte, de l’utilisation ou de la communication de renseignements personnels très délicats.
Au nombre des exigences fondamentales, il y a les suivantes :
1. la mise en œuvre d’un cadre de gouvernance adéquat et cohérent, qui comporte a) des pratiques et des politiques documentées en matière de sécurité des renseignements; b) un processus de gestion des risques explicite; et c) une formation adéquate.
2. le recours à l’authentification multifactorielle et la mise en œuvre de pratiques robustes en matière de gestion des clés et des mots de passe.
3. la protection des réseaux et le recours à des outils convenables d’évaluation des risques, notamment l’emploi de systèmes de détection et de prévention des intrusions; la réalisation d’une surveillance en vue de la prévention de la perte de données, la surveillance de l’intégrité des fichiers et la surveillance de l’ouverture de sessions; la mise en œuvre d’un système de gestion de l’information et des incidents de sécurité; la réalisation d’essais de pénétration des systèmes; la mise à jour régulière des définitions de virus et la réalisation de contrôles de virus ainsi que l’examen de ceux-ci; le recours à des inspections manuelles afin de détecter des risques pour la sécurité; et l’implantation de pare-feu efficaces.
4. la restriction et la surveillance des pratiques informatiques des utilisateurs, et ce, en fonction de leur besoin de connaître les renseignements requis.
Quoique l’orientation supplémentaire soit utile, nous devons néanmoins tirer deux conclusions:
D’abord, nous conseillons à toutes les organisations canadiennes de prendre acte du fait que ces exigences en matière de conformité sont fondées exclusivement sur le caractère délicat des renseignements personnels, peu importe la taille, les revenus ou le profil de l’organisation qui détient ces renseignements.
Nous adressons notre deuxième conclusion aux autorités de réglementation en matière de protection de la vie privée. Il est très troublant de constater que pour qu’une organisation obtienne des détails pratiques sur les attentes des autorités de réglementation en matière de protection de la vie privée quant à la concrétisation du principe de mesures convenables et raisonnables de protection des renseignements personnels sous forme de politiques, procédures et mesures matérielles, organisationnelles et technologiques précises, d’autres organisations doivent d’abord faire l’objet d’enquêtes et de sanctions pour avoir omis de mettre en œuvre des mesures au départ non définies en matière de protection de la vie privée. Dans le meilleur des cas, ce fait diminue la capacité des organisations bien intentionnées de se conformer à la loi. Dans le pire des cas, ce fait enfreint le principe de la certitude juridique – soit le principe fondamental du droit national et international édictant que la loi offre aux personnes qui y sont assujetties la possibilité de régir leur comportement.
À la lumière de ce qui précède, et, en particulier, compte tenu des préoccupations croissantes concernant les risques en matière de cybersécurité, il incombe aux autorités de réglementation de donner une meilleure orientation– a priori – sur les mesures matérielles, organisationnelles et technologiques qui répondront à la norme des mesures raisonnables et suffisantes en matière de protection des renseignements personnels.
[1] 45 C.F.R. 164.308(a)(1)(ii)(A).
[2] CX0400 aux pp. 17-18 (NIST Special Publication 800-30 (Risk Management Guide for Information Technology Systems) (2002).
