Le Commissaire à l’information et à la protection de la vie privée de l’Ontario (le « CIPVP ») a récemment rendu quatre décisions faisant jurisprudence qui imposent des obligations importantes en matière d’avis en cas d’attaques par rançongiciel et d’incidents compromettant les comptes de courrier électronique.
Dans trois des décisions, l’arbitre du CIPVP a conclu que les particuliers doivent être avisés lorsque des renseignements sont rendus inaccessibles à une organisation en raison du chiffrement d’un rançongiciel, même si le cybercriminel n’exfiltre pas les renseignements, n’y accède pas ou ne les consulte pas et que l’organisation les rétablit par la suite. Dans la quatrième décision, l’arbitre du CIPVP a conclu que les particuliers doivent être avisés lorsqu’un cybercriminel accède à un compte de courrier électronique contenant des renseignements personnels et que l’organisation ne peut exclure la possibilité que le cybercriminel ait consulté des renseignements dans le compte.
Dans le présent bulletin, nous examinons les décisions du CIPVP et discutons de leurs répercussions sur les organisations de l’Ontario et de l’ensemble du Canada.
Les faits
Les décisions du CIPVP ont été rendues en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (la « LPRPS ») et de la Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille (la « LSEJF ») de l’Ontario.
Les entités assujetties à la LPRPS sont tenues d’aviser les particuliers « à la première occasion raisonnable » si des renseignements personnels sur la santé sont « soit volés ou perdus, soit utilisés ou divulgués sans autorisation ». Les entités assujetties à la LSEJF sont assujetties à la même obligation en ce qui concerne les atteintes aux renseignements personnels recueillis aux fins de la prestation d’un service en vertu de cette loi.
Ni la LPRPS ni la LSEJF ne prévoient de critère de risque de préjudice à appliquer afin de déterminer si un avis est requis. En d’autres termes, contrairement à la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») et à d’autres lois qui exigent qu’un avis soit donné aux particuliers seulement lorsqu’il existe un « risque réel de préjudice grave » découlant d’une atteinte, la LPRPS et la LSEJF exigent qu’un avis soit donné dans chaque cas où les renseignements en question sont « soit volés ou perdus, soit utilisés ou divulgués sans autorisation ».
Décisions relatives aux rançongiciels
Les Décisions 253 et 254 en vertu de la LPRPS et la Décision 19 en vertu de la LSEJF portent sur des attaques à la cybersécurité au cours desquelles des renseignements ont été chiffrés au moyen d’un rançongiciel.
Dans les premières décisions, l’arbitre du CIPVP a conclu que les attaques par rançongiciel avec chiffrement, qui ont rendu [traduction] « les renseignements personnels sur la santé inaccessibles aux utilisateurs autorisés de ces renseignements », constituent un « emploi » ou un « traitement » et, par conséquent, une « utilisation » non autorisée de ces renseignements [1]. L’arbitre a souligné que cette « utilisation » non autorisée est établie [traduction] « que l’auteur de menace consulte ou non des fichiers précis de renseignements personnels sur la santé figurant dans les conteneurs touchés ou y accède, ou qu’il les exfiltre ou non [...] [2] ».
L’arbitre a également conclu qu’il y avait eu une « perte » de renseignements personnels sur la santé entraînant l’obligation de donner un avis au motif que, par suite du chiffrement causé par le rançongiciel, [traduction] « les renseignements sont inaccessibles aux utilisateurs autorisés de ces renseignements en raison d’une activité non autorisée [3] ». L’arbitre a établi une distinction entre les attaques par rançongiciels et « d’autres perturbations courantes ou non courantes », comme une maintenance programmée de logiciels ou de matériels ou une panne d’électricité [4].
L’arbitre a en outre conclu que ni la récupération des renseignements chiffrés après le paiement d’une rançon pour la clé de déchiffrement, ni la restauration des renseignements à partir des copies de sauvegarde, n’annule le fait qu’il y a eu une « perte » et une « utilisation » non autorisée de renseignements personnels sur la santé par suite de l’attaque [5].
Dans chacune des décisions ci-dessus, l’arbitre a déterminé que les communications publiques des organisations au sujet des incidents n’étaient pas techniquement conformes à l’obligation de donner avis de la LPRPS parce qu’elles ne comprenaient pas une déclaration indiquant que les personnes avaient le droit de porter plainte au CIPVP (et, dans la Décision 254 en vertu de la LPRPS, les déclarations de l’organisation n’étaient pas conformes à d’autres égards) [6]. Toutefois, dans les deux cas, l’arbitre a conclu qu’il ne servirait à rien d’ordonner qu’un avis supplémentaire soit donné [7].
La Décision 19 en vertu de la LSEJF porte sur un incident de rançongiciel avec chiffrement contre une organisation de services sociaux concernant les renseignements personnels de mineurs recueillis en vertu de la LSEJF. Suivant le raisonnement ci-dessus, l’arbitre a déterminé que le chiffrement constituait une « utilisation » non autorisée et une « perte » qui entraînait l’obligation d’aviser en vertu de la LSEJF. Toutefois, l’arbitre a adopté une approche flexible en matière d’avis, notamment parce que plus de deux ans s’étaient écoulés depuis l’incident. Il a déterminé, par voie d’ordonnance, que l’organisation pouvait aviser indirectement de l’atteinte [traduction] « par des moyens comme l’affichage d’un avis sur son site Web ou la publication d’une communication publique [8] ».
Décision relative à la compromission de compte de courrier électronique
La Décision 255 en vertu de la LPRPS porte sur l’accès non autorisé, pendant une heure, au compte de courrier électronique d’un employé contenant des renseignements personnels sur la santé non chiffrés.
L’organisation a été en mesure de démontrer que le cybercriminel n’a pas utilisé le compte pour télécharger des courriels ni pour en envoyer ou en transférer. Toutefois, elle a reconnu qu’il n’était pas possible de savoir si le cybercriminel avait effectué une recherche dans la boîte de réception, ou s’il avait consulté ou ouvert les courriels du compte contenant des renseignements personnels sur la santé. Sur ce fondement, l’arbitre du CIPVP a conclu que, selon la prépondérance des probabilités, l’attaque a donné lieu à une « divulgation » et à une « utilisation » non autorisées de renseignements personnels sur la santé qui doivent faire l’objet d’un avis aux particuliers conformément à la LPRPS [9].
De plus, bien que l’organisation intimée ait avisé les particuliers en l’espèce, l’arbitre a conclu que l’organisation ne s’était pas acquittée de son obligation de le faire « à la première occasion raisonnable » puisque les avis ont été envoyés un an après l’incident [10].
Incompatibilité avec les pratiques existantes
Les décisions du CIPVP sont incompatibles avec les pratiques de nombreuses organisations. Par exemple, dans les cas de rançongiciels, lorsque le cybercriminel ne consulte pas les renseignements ou ne les subtilise pas, mais que ces derniers sont simplement chiffrés par le programme de rançongiciels et qu’ils sont ultérieurement récupérés par déchiffrement ou à partir de copies de sauvegarde, bon nombre d’organisations considèrent généralement qu’il n’y a pas eu de « perte » ou d’« utilisation » non autorisée des renseignements entraînant l’obligation de donner avis aux particuliers; les renseignements n’étaient que temporairement inaccessibles.
De plus, la Décision 255 en vertu de la LPRPS laisse entendre qu’en cas d’atteinte potentielle aux renseignements personnels sur la santé du fait que l’organisation n’est pas en mesure d’exclure la possibilité que ces renseignements aient été consultés par un cybercriminel ou une autre personne non autorisée, l’organisation doit néanmoins traiter cette situation comme une atteinte et en aviser les particuliers en conséquence. Cela n’est pas conforme aux pratiques de nombreuses organisations. De plus, le raisonnement du CIPVP pourrait apparemment s’appliquer à tout scénario, et pas seulement aux cas de compromission de courriels, dans lesquels : a) une personne non autorisée peut accéder à des renseignements personnels; et b) l’organisation ne peut exclure la possibilité que les renseignements personnels aient été consultés.
Incidences des décisions
Toutes les organisations assujetties à la LPRPS et à la LSEJF devraient tenir compte de l’interprétation large du CIPVP quant aux circonstances dans lesquelles l’obligation d’aviser les particuliers est déclenchée en vertu de ces lois, particulièrement en ce qui concerne les incidents liés aux rançongiciels et à la compromission des courriels. Dans la mesure du possible, ces organisations devraient veiller à recueillir des éléments de preuve permettant de faire la distinction entre les incidents sur lesquels portaient les décisions du CIPVP et ceux auxquels elles sont confrontées.
Par ailleurs, les organisations assujetties à la LPRPS et à la LSEJF ne devraient pas s’attendre à ce que le CIPVP adopte à l’avenir une approche flexible en matière d’avis. Si le CIPVP s’est montré favorable à une approche flexible dans les affaires susmentionnées, notamment parce que des années s’étaient écoulées depuis les incidents en question, le CIPVP s’attend clairement à ce que l’avis soit donné de la manière prescrite « à la première occasion raisonnable », comme le prévoit la LPRPS.
Outre la LPRPS et la LSEJF, il reste à voir si les décisions du CIPVP ci-dessus auront une incidence sur la manière dont les autres organismes canadiens de réglementation de la protection de la vie privée interprètent les cas d’atteinte à la vie privée [11] . La plupart des lois canadiennes sur la protection des renseignements personnels qui s’appliquent au secteur privé, au secteur public et au secteur de la santé, y compris la LPRPDE, contiennent des dispositions relatives aux avis d’atteintes à la vie privée. Les critères permettant de déterminer si une atteinte a lieu en vertu de ces lois sont similaires à ceux de la LPRPS et de la LSEJF. Les organisations doivent prévoir la possibilité que les décisions du CIPVP puissent inciter d’autres organismes de réglementation à interpréter de façon plus large les circonstances pouvant être qualifiées d’atteintes. Lors de l’enquête et de la mise en œuvre des mesures prises en cas d’incident, les organisations devraient chercher à identifier les faits qui permettront de faire la distinction entre de tels incidents et ceux qui ont fait l’objet des décisions du CIPVP.
Cependant, il convient de noter que, contrairement à la LPRPS et à la LSEJF, presque toutes les lois sur la protection des renseignements personnels au Canada, y compris les modifications proposées par l’Ontario à sa loi sur la protection des renseignements personnels dans le secteur public (en anglais seulement) prévoient un critère de risque de préjudice pour déterminer si une organisation doit aviser les particuliers d’une atteinte à la vie privée. Dans la LPRPDE et d’autres lois, par exemple, l’atteinte doit donner lieu à un « risque réel de préjudice grave » ou à un critère similaire, avant que les organisations soient tenues d’aviser les particuliers. En raison de ce critère, les décisions du CIPVP pourraient avoir une incidence limitée sur les autres organismes canadiens de réglementation de la protection des renseignements personnels. Toutefois, étant donné que les décisions du CIPVP interprètent de manière large les circonstances pouvant être qualifiées d’atteintes, les organisations devraient s’assurer d’obtenir des conseils juridiques pour déterminer si un avis est requis en vertu des lois sur la protection des renseignements personnels qui prévoient un critère de risque de préjudice. Cette mesure pourrait avoir une incidence très importante sur la portée des avis, le cas échéant, qui pourraient être nécessaires dans un cas donné. Les plans de lutte contre les atteintes à la vie privée et les plans d’intervention en cas d’incident devraient être mis à jour à la lumière de ce qui précède.
Si vous avez des questions concernant les éventuelles répercussions des décisions du CIPVP ou d’autres questions relatives à la protection des renseignements personnels ou à la cybersécurité, veuillez communiquer avec les auteurs de ce bulletin ou un membre de notre groupe Protection des renseignements confidentiels, vie privée et cybersécurité.
[1] Décision 253 en vertu de la LPRPS (en anglais), par. 40. Voir aussi la Décision 254 en vertu de la LPRPS (en anglais), par. 29.
[2] Ibid., par. 42. Voir aussi la Décision 254 en vertu de la LPRPS, par. 30.
[3] Ibid., par. 50. Voir aussi la Décision 254 en vertu de la LPRPS, par. 36.
[4] Ibid., par. 51. Voir aussi la Décision 254 en vertu de la LPRPS, par. 37.
[5] Ibid., par. 36 et 49. Voir aussi la Décision 254 en vertu de la LPRPS, par. 36.
[6] Ibid., par 65; Décision 254 en vertu de la LPRPS, par. 48.
[7] Ibid., par 65; Décision 254 en vertu de la LPRPS, par. 49.
[8] Décision 19 en vertu de la LSEJF (en anglais), par. 75.
[9] Décision 255 en vertu de la LPRPS (en anglais), par. 25.
[10] Ibid., par. 58 et 59.
[11] En vertu d’un certain nombre de lois canadiennes sur la protection des renseignements personnels, y compris la LPRPDE, la constatation d’une atteinte à la vie privée entraîne l’obligation de conserver les registres visés. Comme nous le verrons ci-après, l’application des obligations en matière d’avis et de déclaration dépend du critère de risque de préjudice prévu par la plupart des lois canadiennes sur la protection des renseignements personnels.
