En janvier 2018, le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») et la United States Federal Trade Commission (la « FTC ») ont publié des orientations majeures et concrètes au sujet de la cybersécurité, en réaction à l'incident de sécurité concernant VTech. Comme nous le verrons, l'affaire VTech a entraîné la création d'un nombre croissant de lignes directrices d'ordre réglementaire au sujet de la cybersécurité dont les organisations peuvent tirer un certain nombre de leçons clés.
Contexte
VTech est un fournisseur mondial de produits éducatifs électroniques pour les enfants, ainsi que le plus grand fabricant de téléphones sans fil au monde. En novembre 2015, un utilisateur non autorisé est parvenu à accéder à plusieurs cyberenvironnements de VTech, par l'intermédiaire de l'« injection SQL » et d'autres méthodes.
Puisque VTech n'a pas été en mesure de déterminer la portée exacte des données compromises dans les systèmes pertinents lors de son enquête, elle a tenu pour acquis que toutes les données avaient été susceptibles d'accès et de copie. VTech a publié une déclaration publique annonçant l'incident (disponible en anglais seulement) à la fin de novembre 2015 puis en décembre 2015 en a formellement avisé le Commissariat.
Les données compromises comprenaient des renseignements sur les comptes des parents (noms, adresses courriel, questions secrètes, réponses de récupération de mot de passe, etc.), des renseignements sur les enfants (nom des enfants, sexe, dates de naissance, photographies, etc.) ainsi que des messages échangés entre les parents et leurs enfants. L'incident a touché plus de 500 000 Canadiens (dont 300 000 enfants) et plus de 5 millions d'Américains.
Le responsable de l'incident a finalement été arrêté et les renseignements auxquels il avait accédé ont été récupérés dans ses dispositifs. Rien n'indique que ce dernier ait fourni des copies des renseignements compromis ou qu'il en ait permis l'accès à qui que ce soit, et rien ne permet de conclure que d'autres divulgations des renseignements se soient produites.
Les enseignements du Commissariat à la protection de la vie privée du Canada
Au Canada, le Commissariat a reçu une plainte d'un client de VTech visé et a ouvert une enquête pour évaluer la conformité de l'entreprise à la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »).
Le 8 janvier 2018, le Commissariat a annoncé que l'enquête était terminée et a publié un rapport des conclusions selon lesquelles VTech n'avait pas adopté de mesures de sécurité adéquates pour protéger les renseignements personnels, mais que l'entreprise avait depuis mis en place des dispositifs correctifs satisfaisants pour rectifier la situation.
La LPRPDE exige que les organisations protègent les renseignements personnels en utilisant les mesures de sécurité physiques, organisationnelles et technologiques appropriées au degré de sensibilité des renseignements (c.-à-d. la quantité, la distribution, le format et les méthodes de stockage). Le Commissariat est d'avis que VTech n'a pas mis en œuvre les mesures de protection organisationnelles et technologiques adéquates pour assurer la protection des renseignements personnels des clients, tout particulièrement compte tenu du degré de sensibilité des renseignements que possédait VTech (qui étaient liés à des enfants, lesquels sont considérés comme formant un groupe vulnérable) et du nombre de personnes touchées (des millions de clients). Plus précisément, le Commissariat a relevé la présence des vulnérabilités organisationnelles et technologiques suivantes, lesquelles peuvent fournir des lignes directrices très pertinentes pour d'autres organisations souhaitant comprendre les attentes du Commissariat relativement à la protection des renseignements personnels en vertu de la LPRPDE :
- Mise à l'essai et maintenance : VTech ne s'était pas doté d'un programme d'essais réguliers visant à repérer et à atténuer les failles de sécurité;
- Contrôles d'accès : VTech n'a pas pris les mesures appropriées pour limiter le nombre de personnes ayant un accès administratif ni pour limiter la portée de l'accès disponible par l'intermédiaire des comptes individuels;
- Cryptographie : VTech n'a pas utilisé une cryptographie adéquate pour protéger les renseignements délicats (par ex. : stockage de certains renseignements en texte brut, ou transmission de certaines communications des clients en texte clair);
- Enregistrement et surveillance : VTech ne s'était pas doté d'un mécanisme adéquat d'enregistrement et de surveillance permettant d'assurer la sécurité de l'hôte et des réseaux, ce qui aurait permis de détecter les menaces potentielles ou les activités inhabituelles ou non autorisées;
- Cadre de gestion de la sécurité : VTech n'avait prévu aucune politique globale et exhaustive sur la sécurité des données ni de formation connexe ou de programme assurant l'évaluation des risques et l'examen des politiques à intervalles réguliers.
Les conclusions ci-dessus s'appuyaient sur des directives préalablement fournies par le Commissariat, dont nous discuterons ci-après.
Le règlement de la Federal Trade Commission
Aux États-Unis, la FTC a poursuivi VTech, en alléguant des violations au Children's Online Privacy Protection Act et au Federal Trade Commission Act.
Le 8 janvier 2018, la FTC annonçait un règlement au moyen d'une ordonnance (PDF - disponible en anglais seulement) qui exigeait, entre autres choses, que VTech verse une pénalité administrative de 650 000 $ et mette en œuvre un programme exhaustif de sécurité des données. Le programme imposé doit contenir [TRADUCTION] « des mesures de protection administratives, techniques et physiques appropriées compte tenu de la taille et de la complexité de VTech, de la nature et de la portée des activités de VTech et du degré de sensibilité des renseignements personnels », y compris :
- La désignation d'un ou plusieurs employés pour coordonner le programme de sécurité des renseignements et pour en être responsables;
- L'identification des risques internes et externes pour la sécurité, la confidentialité ou l'intégrité des renseignements personnels, qui pourraient mener à une divulgation, à un mauvais usage, à une perte, à une modification, à la destruction non autorisée ou à un autre risque pour lesdits renseignements, ainsi que l'évaluation du caractère suffisant de toutes les mesures de protection en place pour contrôler ces risques;
- La conception et la mise en œuvre de mesures de protection raisonnables pour contrôler ces risques et des mises à l'essai ou une surveillance à intervalles réguliers de l'efficacité de ces mesures de protection;
- L'élaboration et l'utilisation de mesures raisonnables pour choisir et mandater des fournisseurs de services capables de protéger de manière adéquate les renseignements personnels qu'ils reçoivent de VTech, et exiger, par contrat, que les fournisseurs de services mettent en œuvre et maintiennent les mesures de protection appropriées;
- L'évaluation et l'ajustement du programme de sécurité des renseignements à la lumière des résultats des mises à l'essai et de la surveillance exigés, de tous les changements aux activités ou aux ententes commerciales de VTech ou de toute autre circonstance.
De plus en plus d'orientations d'ordre réglementaire matière de cybersécurité
Au cours des dernières années, au Canada, les commissariats à la vie privée fédéral et provinciaux, ainsi que les organismes de réglementation de certains secteurs, ont émis un nombre croissant de directives en matière de cybersécurité et d'atteintes aux données dont les conclusions de l'affaire VTech sont les plus récentes. S'appuyant sur son document de recherche intitulé Vie privée et cybersécurité : Mettre l'accent sur la protection de la vie privée dans les activités de cybersécurité, le Commissariat a publié un certain nombre de conclusions fondées sur la LPRPDE qui illustrent la gamme de risques internes et externes à laquelle peuvent faire face les organisations concernant les renseignements personnels, en plus des conclusions de l'affaire Ashley Madison dont nous discuterons ci-après. Ces conclusions comprennent les suivantes :
- Résumé d'incident no 11 (2016) : Une institution financière réagit rapidement à une erreur commise au cours d'un envoi massif par la poste;
- Résumé d'incident no 12 (2016) : Une infraction aux procédures de sécurité expose le client d'un planificateur financier à une atteinte à sa vie privée;
- Rapport de conclusions d'enquête en vertu de la LPRPDE no 2015-011 : Une banque met en œuvre d'importantes mesures après qu'un employé se permet accès aux renseignements sur une cliente à des fins non commerciales;
- Rapport de conclusions d'enquête en vertu de la LPRPDE no 2015-008 : Une représentante utilise de façon frauduleuse les renseignements personnels d'une personne pour émettre une nouvelle carte de crédit à son nom;
- Rapport de conclusions d'enquête en vertu de la LPRPDE no 2015-007 : Une institution financière prend de vigoureuses mesures correctives après que des mesures de sécurité insuffisantes et un stockage inutile ont rendu vulnérables aux atteintes à la vie privée des données sensibles.
Par exemple, dans les conclusions finales ci-dessus, le Commissariat a conclu qu'en raison des violations de la LPRPDE par l'organisation, « sans que l'organisation en soit au courant, les renseignements des clients étaient stockés inutilement - en double et sans chiffrement - sur un serveur Web qui n'avait pas été mis à jour en vue de corriger une vulnérabilité bien connue et qui ne faisait l'objet d'aucune surveillance pour détecter d'éventuelles menaces à la sécurité ». Les leçons tirées des conclusions ci-dessus insistent sur la nécessité d'atténuer les risques, y compris par l'intermédiaire de mesures proactives (par ex. en effectuant des vérifications de l'accès des employés aux renseignements personnels) conçues pour détecter et décourager l'inconduite, ainsi que des formations au sujet de la vie privée et des conséquences pouvant découler de l'espionnage.
En outre, dans le cadre de la dernière conclusion liée à un incident majeur survenu avant l'affaire VTech, le Commissariat a publié en 2016 un constat marquant dans le Rapport de conclusions d'enquête en vertu de la LPRPDE no 2016-005 - Enquête conjointe sur Ashley Madison menée par le à la vie privée du Canada et le commissaire à la protection de la vie privée/à l'information par intérim de l'Australie - qui a fourni d'importantes directives aux organismes cherchant à assurer leur conformité à la LPRPDE et tout particulièrement à l'obligation de protection. Dans la foulée du piratage très médiatisé du site Web de rencontre pour adultes Ashley Madison et de la divulgation d'une quantité importante de renseignements personnels obtenus par piratage, le commissaire a effectué une enquête et conclu qu'Ashley Madison n'avait pas respecté un certain nombre d'exigences prévues dans la LPRDE.
Le Commissaire a effectué une enquête approfondie sur Ashley Madison dans le cadre de laquelle il a rencontré le directeur de l'exploitation, le chef du contentieux et des vice-présidents. Il a également examiné les réponses écrites aux demandes de renseignements, les modalités d'utilisation du site Web, les rapports d'incident et de conformité PCI, les renseignements fournis par un consultant en cybersécurité, les procédures opérationnelles de TI et le matériel de formation sur la sécurité des données et la vie privée. Au début de ses conclusions, le Commissaire a noté qu'Ashley Madison avait pris un certain nombre de mesures positives en réaction à l'incident, notamment :
- En suspendant l'accès à distance de son réseau privé virtuel
- En embauchant des experts pour l'aider à intervenir
- En publiant un communiqué de presse et des coordonnées liés à l'atteinte aux données
- En avisant par écrit plusieurs des personnes visées
- En coopérant avec les organismes de réglementation
- En embauchant des experts pour améliorer la sécurité et la formation et en embauchant un OPSI expérimenté
- En envoyant des avis demandant aux sites Web où étaient publiés les renseignements personnels de les retirer
Cependant, le Commissaire a reproché à Ashley Madison a) l'absence d'authentification multifactorielle pour l'accès à distance aux systèmes d'Ashley Madison, b) l'absence de mesures de prévention et de détection utilisées couramment, c) de mauvaises pratiques de gestion des identificateurs et des mots de passe (p. ex. stockage en texte clair des mots de passe, y compris dans les courriels et le chiffrement des clés stockées en texte clair).
Finalement, le Commissaire a conclu que les organisations qui, comme Ashley Madison, détiennent des renseignements sensibles ou d'importantes quantités d'informations personnelles sont tenues, en vertu de la LPRPDE, d'avoir un cadre de gouvernance en matière de sécurité comprenant: a) une politique de sécurité de l'information documentée, b) un processus de gestion du risque explicite comprenant des évaluations périodiques et proactives des menaces à la vie privée ainsi que des évaluations des pratiques relatives à la sécurité, et c) une formation concernant la protection de la vie privée et la sécurité pour tous les membres du personnel.
Conclusion
L'affaire VTech est la plus récente à venir s'ajouter à une série grandissante de lignes directrices émanant des organismes de réglementation et autres, y compris les tribunaux, au sujet de la cybersécurité. Alors que l'obligation générale de protection contenue dans la LPRPDE permet aux organisations souhaitant s'y conformer de profiter d'une souplesse considérable, la décision VTech énumère un certain nombre de mesures concrètes et précises dont le Commissaire s'attendra à ce qu'elles soient envisagées ou utilisées pour aborder la cybersécurité lorsqu'il sera question de renseignements personnels. Les organisations, particulièrement les entreprises qui détiennent de grandes quantités de renseignements sensibles ou personnels au sujet d'employés, de clients ou d'autres personnes, doivent tenir compte de la manière dont leur programme de sécurité des renseignements (y compris en ce qui a trait à leurs fournisseurs de services) se situe par rapport aux éléments décrits dans l'affaire VTech et aux autres conclusions dont nous avons discuté ci-dessus.
