Les déclarations obligatoires, un an plus tard : le Commissariat à la protection de la vie privée du Canada publie des statistiques sur les atteintes à la protection des données

Pour souligner le premier anniversaire de l’entrée en vigueur des déclarations obligatoires des atteintes à la protection des données en vertu de Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a publié un billet de blogue comportant des observations, des statistiques et des conseils.

Depuis novembre 2018, les organisations assujetties à la LPRPDE sont tenues d’aviser le CPVP et les personnes touchées en cas d’« atteintes aux mesures de sécurité » visant des renseignements personnels lorsque celles-ci présentent un risque réel de préjudice grave à un particulier. De plus, les organisations doivent conserver un registre pour toute atteinte (y compris les atteintes qui ne présentent pas un risque réel de préjudice grave) pour une période minimale de deux ans.

Alors que le nombre d’atteintes à la protection des données continue de monter en flèche au Canada, les orientations récentes du CPVP sur les constats tirés des déclarations obligatoires viennent s’ajouter à d’autres ressources sur les stratégies pour parer aux cyberincidents.

RISQUES ET TENDANCES : CONSTATS DU CPVP

Dans son billet de blogue, le CPVP rapporte que 680 déclarations d’atteintes lui ont été signalées depuis l’entrée en vigueur du règlement sur les déclarations obligatoires, soit six fois le volume des déclarations reçues l’année précédente. Selon ces déclarations, au moins 28 millions de Canadiens auraient ainsi été touchés par une atteinte à la protection des données. Ces données dépassent les prévisions du CPVP qui se fondaient sur l’expérience du Commissariat à l’information et à la protection de la vie privée de l’Alberta à l’entrée en vigueur de dispositions similaires dans cette province il y a presque dix ans.

La plupart des incidents signalés concernaient un accès non autorisé à des renseignements personnels, et sont souvent causés par des employés qui furètent ou du piratage d’ingénierie sociale. Dans ce dernier cas, les cyberattaquants tentaient souvent de convaincre de petits groupes de personnes de leur fausse identité en ayant recours à des techniques psychologiques astucieuses, à des renseignements accessibles au public et à des renseignements divulgués dans le cadre d’autres atteintes à la vie privée.

Source : CPVP, « Un an après l’entrée en vigueur des déclarations obligatoires des atteintes à la protection des données » (31 oct. 2019)

Environ 22 % des incidents signalés concernaient des divulgations accidentelles (par exemple, lorsqu’un document contenant des renseignements personnels est fourni à la mauvaise personne ou abandonné par accident). Les autres incidents signalés concernaient la perte ou le vol d’appareils ou de dossiers contenant des renseignements personnels.

PRATIQUES EXEMPLAIRES EN MATIÈRE DE DÉCLARATIONS

Seules les atteintes présentant un risque réel de préjudice grave (un « RRPG ») doivent être signalées au CPVP. Pour déterminer si une atteinte présente un tel risque, l’organisation doit évaluer le degré de sensibilité des renseignements personnels en cause, ainsi que la probabilité que les renseignements personnels soient mal utilisés (une analyse couramment appelée évaluation du RRPG). Les organisations assujetties à la LPRPDE devraient avoir en place un cadre permettant d’évaluer le risque potentiel, de façon à ce que toutes les atteintes soient évaluées uniformément.

Les organisations doivent également tenir et conserver un registre de toutes les atteintes, même celles qui ne satisfont pas au critère de préjudice aux fins de déclaration. Ce registre doit être conservé pendant deux ans et doit contenir suffisamment de renseignements pour permettre au CPVP de vérifier la conformité aux dispositions de la LPRPDE en matière de déclaration d’atteintes. Les organisations devraient avoir mis en place un processus cohérent pour la création et la tenue d’un registre des atteintes.

Le CPVP a l’autorité d’examiner de façon proactive les registres. Il l’a d’ailleurs fait récemment dans le cadre d’un examen des dossiers d’atteinte de plusieurs organisations. Une fois cette analyse terminée, le CPVP prévoit d’en partager les résultats avec les intervenants et de mettre à jour ses orientations en fonction des conclusions tirées de cet exercice.

Dans son billet, le CPVP souligne de nouveau l’importance de réduire de manière proactive les risques d’atteintes à la protection des données. Le CPVP propose notamment les mesures suivantes aux organisations :

  • Ayez bonne connaissance des données dont vous disposez. Vous devez avoir connaissance des renseignements personnels dont vous disposez, savoir où ces renseignements sont stockés et connaître les usages que vous en faites. Conservez des traces indiquant quand et où les renseignements personnels ont été recueillis, quand ils sont partagés ou transférés, et qui peut y avoir accès. Si vous n’avez pas bonne connaissance des données en votre possession, il vous sera difficile de les protéger.
  • Soyez conscient de vos vulnérabilités. Effectuez des évaluations du risque et de la vulnérabilité, y compris des tests d’intrusion, afin de cerner les menaces potentielles pour votre organisation. Assurez-vous que des mesures de sécurité adéquates sont en place si des tiers recueillent des renseignements personnels pour votre compte. Assurez-vous également que vos employés sont sensibilisés à leurs responsabilités et aux risques relativement à la protection des données.
  • Soyez à l’affût des atteintes qui ont frappé votre secteur d’activité. Les cyberattaquants réutilisent souvent les mêmes tactiques contre diverses organisations. Pour éviter de telles atteintes, demeurez à l’affût des alertes et des nouvelles provenant des associations et d’autres sources d’information dans votre secteur.

AUTRES SOURCES D’INFORMATION OFFERTES PAR BLAKES

Blakes vous propose diverses ressources qui vous permettront non seulement de cerner les exigences prévues à la LPRPDE concernant la déclaration obligatoire des atteintes et la tenue de registre, mais aussi de parer aux cyberincidents et d’y réagir :

Pour en savoir davantage, communiquez avec :

Imran Ahmad                          416-863-4329
Wendy Mee                            416-863-3161
Katherine Barbacki                 514-982-4138
Ellie Marshall                          416-863-3053

ou un autre membre de notre groupe Protection de la vie privée.

Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet.

Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l’adresse communications@blakes.com. © 2019 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.