Passer au contenu

Respect de la vie privée et cybersécurité au Canada

Auteur(s) : Patricia Kosseim, John Salloum, Rachel St. John

Le 5 octobre 2018

La publication intitulée Getting the Deal Through: Market Intelligence donne un aperçu exclusif de l’évolution du contexte juridique et réglementaire dans les principaux territoires de compétence du monde. Dernièrement, cette publication en ligne mettait en vedette les avocats d’Osler Patricia Kosseim, John Salloum et Rachel St. John dans une vaste série de questions et réponses portant sur le contexte du respect de la vie privée et de la cybersécurité au Canada. Dans cet exposé en profondeur, ils abordent de nombreux sujets, notamment :

  • les principaux faits récents touchant la réglementation relative aux normes de cybersécurité au Canada
  • les problèmes que les entreprises doivent régler lorsqu’elles subissent un incident d’atteinte à la sécurité
  • les règles touchant la notification des organismes de réglementation et les consommateurs en cas d’atteinte à la protection des données
  • les préoccupations relatives à la protection des renseignements personnels et à la sécurité des données dont les entreprises doivent tenir compte lorsqu’elles envisagent de transférer leurs données dans un contexte infonuagique
  • les pratiques exemplaires adoptées par les organisations canadiennes pour améliorer leur état de préparation en matière de cybersécurité
  • les façons dont le gouvernement canadien traite l’activité criminelle et les menaces graves à la cybersécurité
  • la manière dont les entreprises devraient intégrer les risques liés au respect de la vie privée et à la sécurité des données à leur prise de décision lorsqu’elles envisagent des opérations de fusion et acquisition.

Pour en savoir davantage, lisez l’article intégral.

To learn more, read the full article.

Une entrevue avec Patricia Kosseim, John Salloum et Rachel St John

Patricia Kosseim is counsel in Osler’s privacy and data management group and co-leader of Osler’s AccessPrivacy platform, an integrated suite of innovative information solutions, consulting services and thought leadership. Patricia is a national leading expert in privacy and access law, having served over a decade as Senior General Counsel and Director General at the Office of the Privacy Commissioner of Canada (OPC).

Patricia has provided strategic legal and policy advice on complex and emerging privacy issues; advised Parliament on privacy implications of legislative bills; led research initiatives on new information technologies and advanced privacy law in major litigation cases before the courts, including the Supreme Court of Canada.

Patricia has also worked at Genome Canada and the Canadian Institutes of Health Research, where she led national strategies for addressing legal, ethical and social implications of health research and genomics.

Patricia has published and spoken extensively on matters of privacy law, health law and ethics. She has taught part-time at the University of Ottawa, Faculty of Law, and holds many professional appointments and board memberships, including governor on the board of governors of the Ottawa Hospital.

John Salloum is a member of the marketing and distribution and privacy and data management practice groups. John has a thorough understanding of the technology underlying social media promotional programmes. He has advised clients extensively on these campaigns, speaking in Canada, the United States and abroad on programme design and implementation, as well as on strategies to mitigate risk. He reviews advertising and promotional materials across all media, with an emphasis on internet-based and mobile media, including compliance issues relating to misleading advertising, contests, games, sweepstakes and consumer-protection issues.

John also advises regularly on the management and retention of personal information, best practices and the management of data security breaches, and regulatory compliance under privacy legislation.

Rachel St John advises clients on a broad range of privacy, data security and information-management matters, including information security-breach responses, cross-border data transfers, online and mobile marketing, behavioural tracking, employee monitoring and internal investigations, payment card systems, outsourcing transactions, health information privacy, data governance and strategic management of information assets.

Rachel also drafts and negotiates contractual agreements concerning information security, and develops policies, procedures and training programmes. She counsels clients on compliance with federal, provincial and international privacy requirements, including the Personal Information Protection and Electronic Documents Act (PIPEDA), Canada’s anti-spam legislation (CASL), Alberta’s Personal Information Protection Act (PIPA) and Health Information Act.


GTDT: Quels ont été les faits saillants de la réglementation sur les normes de cybersécurité dans votre pays, l’année dernière ?

Patricia Kosseim: Il y a eu récemment plusieurs faits saillants au Canada en matière de réglementation du domaine de la cybersécurité.  Mentionnons notamment : 1) un projet de loi visant à renforcer le régime de la sécurité nationale au Canada, 2) l’adoption par le gouvernement fédéral d’un Règlement sur les atteintes aux mesures de sécurité, et 3) la publication des principales conclusions d’une enquête menée par le Commissariat à la protection de la vie privée du Canada.

Le projet de loi C-59, intitulé Loi concernant des questions de sécurité nationale, a été présenté au Parlement en 2017.  Parmi les nombreuses dispositions de cette nouvelle loi, on peut mentionner l’élargissement du mandat du Centre de la sécurité des télécommunications (CST). Selon le projet de loi, des pouvoirs renforcés seraient conférés au CST afin qu’il puisse contrecarrer les efforts étrangers déployés en ligne qui menacent le Canada, notamment en protégeant les réseaux du Canada contre les cybermenaces au moyen de mesures non seulement défensives, mais aussi actives. Ces dernières comprendraient le pouvoir de réduire, de perturber, d’influencer ou de contrecarrer les moyens, les intentions ou les activités d’un belligérant étranger.  Le CST serait également doté d’une capacité améliorée de protection des cyberinfrastructures essentielles dans le secteur privé en éliminant les obstacles juridiques à la communication de certains renseignements sur les cybermenaces, en donnant des conseils sur les mesures d’atténuation et en déployant ses propres outils de cybersécurité, sur demande. En revanche, le CST serait assujetti à une surveillance accrue et l’exercice de ses pouvoirs serait contrôlé, notamment grâce à un régime d’autorisation ministérielle renforcé, un nouvel Office de surveillance des activités en matière de sécurité nationale et de renseignement et la création d’une nouvelle fonction de Commissaire au renseignement. Le projet de loi C-59 a fait l’objet de nombreuses réunions du Comité l’année dernière et a subi plusieurs modifications à la Chambre des communes; il suivait toujours le cours du processus législatif au Sénat au moment de la rédaction du présent article (août 2018).

Toujours au niveau fédéral, un nouveau Règlement sur les atteintes aux mesures de sécurité a été adopté en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), L.C. 2000, ch. 5.  Le règlement et les dispositions législatives connexes doivent entrer en vigueur le 1er novembre 2018. Le nouveau régime fédéral de déclaration des atteintes exigera des organisations du secteur privé assujetties à la LPRPDE qu’elles déclarent rapidement toute atteinte à la protection des données dépassant un certain seuil au Commissaire à la protection de la vie privée et qu’elles en avisent les intéressés; elles seront également tenues d’aviser les autres organisations ou les organismes publics qui pourraient prendre des mesures en vue d’atténuer le risque de préjudice découlant de l’atteinte. Les nouvelles règles en matière de déclaration des atteintes obligeront en outre les organisations à tenir et à conserver, en la forme prescrite, un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels sur lesquelles elles exercent un contrôle.  Une organisation qui omet sciemment de déclarer une atteinte aux mesures de sécurité au Commissaire à la protection de la vie privée, d’aviser un intéressé, ou de tenir le registre des atteintes requis par la loi commet une infraction et est passible, sur déclaration de culpabilité par procédure sommaire, d’une amende maximale de 10 000 $ CA, ou sur déclaration de culpabilité par mise en accusation, d’une amende maximale de 100 000 $ CA.

Comme directives réglementaires, le Commissariat à la protection de la vie privée du Canada (CPVP) a publié en janvier 2018 les conclusions de son enquête dans l’affaire Vtech Holdings (rapport d’enquête en vertu de la LPRPDE, no 2018-001, le « rapport d’enquête »). Dans son rapport, le CPVP réitère la norme du caractère raisonnable à laquelle seront tenues les organisations responsables à l’égard des mesures de sécurité. Même si la LPRPDE n’exige pas qu’un système soit absolument impénétrable contre tout risque d’atteinte, elle oblige néanmoins les organisations à mettre en place des moyens matériels, des mesures administratives et des mesures techniques de sécurité correspondant au degré de sensibilité des renseignements personnels concernés.  

Cette affaire portait sur une atteinte mondiale à la protection des données qui a compromis les renseignements personnels de plus d’un demi-million de Canadiens, y compris des enfants.   Après avoir mené une enquête approfondie, le CPVP a constaté d’importantes lacunes dans les mesures de sécurité, compte tenu surtout du caractère sensible des données ayant fait l’objet de l’atteinte et du risque de préjudice pouvant en découler. Les défaillances des mesures de sécurité observées étaient notamment : i) l’absence d’essais et un manque de maintenance visant à détecter et à corriger les vulnérabilités […]; ii) le caractère inadéquat des contrôles d’accès administratif; iii) diverses défaillances liées à la protection cryptographique; iv) l’absence de journalisation et de surveillance de la sécurité permettant de détecter les menaces potentielles; v) l’absence d’un programme général et exhaustif de gestion de la sécurité.

Par conséquent, le CPVP a recommandé, et Vtech a adopté, les mesures correctives suivantes afin de renforcer son programme de gestion de la cybersécurité (voir le paragraphe 24 du rapport d’enquête) :

(1) la mise en œuvre d’un protocole d’essais périodiques à facettes multiples et d’un programme de gestion des mises à jour et des correctifs visant à atténuer les risques des vulnérabilités connues;

(2) limitation du nombre de personnes ayant un accès à partir des comptes d’administration, renforcement des contrôles d’authentification (mots de passe plus efficaces) et mise en œuvre des mesures internes visant à resserrer le contrôle de l’utilisation des comptes d’administration;

(3) mise en œuvre de solutions de cryptographie améliorées pour le stockage des renseignements, y compris ceux des utilisateurs, qui transitent entre ses sites Web et ses applications;

(4) centralisation des journaux des événements et surveillance des activités sur le réseau, notamment le trafic sortant de données transmises vers Internet, afin de détecter les activités non autorisées et d’enquêter sur ces activités;

(5) mise en œuvre d’une nouvelle politique détaillée sur la sécurité des données qui prévoit notamment :

(i)  la création d’un comité de gouvernance de la sécurité des données;

(ii) la sensibilisation du personnel grâce à une séance de formation annuelle sur la politique et la sécurité des données;

(iii) le respect de la politique;

(iv) l’évaluation des risques, l’analyse comparative des pratiques exemplaires et des examens, sur une base annuelle, afin d’assurer la pertinence de la politique et des mesures connexes visant la sécurité des données.


GTDT: Quand une atteinte à la sécurité des données exige-t-elle une déclaration aux organismes de réglementation ou un avis aux consommateurs, et quels sont les principaux facteurs que doit évaluer une organisation quand vient le temps de décider si elle doit faire une telle déclaration ou donner un tel avis?

PK: Sous le nouveau régime de déclaration des atteintes à la sécurité établi en vertu de la LPRPDE, dans le Règlement sur les atteintes aux mesures de sécurité, DORS/2018-64qui entrera en vigueur le 1er novembre 2018, les organisations seront tenues de déclarer toute atteinte aux mesures de sécurité correspondant au seuil prescrit par la loi au Commissaire à la protection de la vie privée, et d’en donner avis aux intéressés.

Une « atteinte aux mesures de sécurité » signifie une « communication non autorisée ou [une] perte de renseignements personnels, ou [un] accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité [...] ou du fait que ces mesures n’ont pas été mises en place ».

Seuil fixé par la loi

Le seuil fixé par la loi, qui déclenche l’obligation de déclaration au Commissaire et d’avis aux intéressés est le même, à savoir : « s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu ».

Afin de déterminer s’il existe un risque réel de préjudice, l’organisation doit prendre en compte les facteurs suivants :

(1) le degré de sensibilité des renseignements personnels en cause;

(2) la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être;

(3) tout autre élément prescrit par règlement (au moment de la rédaction du présent article, le règlement ne contenait aucun autre facteur).

Un préjudice grave comprend « la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles ».

Délais

En ce qui concerne les délais, tant la déclaration au Commissaire que l’avis aux intéressés doivent être faits « le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte ».

[traduction] « L’organisation aura également l’obligation de tenir et de conserver un registre de toutes les atteintes aux mesures de sécurité. »

Contenu et modalités de la déclaration au Commissaire

La déclaration au Commissaire est faite par écrit, elle lui est transmise par tout moyen de communication sécurisé, et elle contient les renseignements prescrits suivants :

(1) les circonstances de l’atteinte et, si elle est connue, la cause de l’atteinte;

(2) la date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période;

(3) la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;

(4) le nombre d’individus visé par l’atteinte ou, s’il n’est pas connu, une approximation de ce nombre;

(5) les mesures que l’organisation a prises afin de réduire le risque de préjudice à l’endroit des intéressés qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;

(6) les mesures que l’organisation a prises ou qu’elle entend prendre afin d’aviser les intéressés de l’atteinte;

(7) le nom et les coordonnées d’une personne qui peut répondre au nom de l’organisation aux questions du Commissaire au sujet de l’atteinte.

Forme et contenu de l’avis aux intéressés

L’avis donné aux intéressés contient les renseignements suivants :

(1) les circonstances de l’atteinte;

(2) la date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période;

(3) la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;

(4) les mesures que l’organisation a prises afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte;

(5) les mesures que peut prendre tout intéressé afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;

(6) les coordonnées permettant à l’intéressé de se renseigner davantage au sujet de l’atteinte.

L’avis est donné directement à l’intéressé (c’est-à-dire, en personne, par téléphone, par courrier, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait acceptable dans les circonstances).

Dans certains cas, l’avis peut être donné indirectement à l’intéressé (par exemple, par une communication publique ou par toute mesure similaire dont on peut raisonnablement s’attendre à ce qu’elle permette de joindre l’intéressé) lorsque :

(1) le fait de donner l’avis directement est susceptible de causer un préjudice accru à l’intéressé;

(2) le fait de donner l’avis directement est susceptible de représenter une difficulté excessive pour l’organisation;

(3) l’organisation n’a pas les coordonnées de l’intéressé.

Autres dispositions dignes de mention

Les organisations sont également tenues d’aviser, le plus tôt possible après avoir conclu qu’il y a eu atteinte, toute autre organisation ou tout autre organisme public si elles croient que l’autre organisation ou l’autre organisme peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice. 

Le nouveau régime de déclaration des atteintes à la sécurité du Canada obligera également les organisations à tenir et à conserver un registre de toutes les atteintes aux mesures de sécurité et, sur demande, à donner au Commissaire à la protection de la vie privée du Canada accès à leurs registres ou à lui en remettre copie.

Comme mentionné précédemment, une organisation qui omet sciemment de déclarer une atteinte aux mesures de sécurité au Commissaire à la protection de la vie privée, d’aviser un intéressé, ou de tenir un registre des atteintes prescrit par la loi commet une infraction et est passible, sur déclaration de culpabilité par procédure sommaire, d’une amende maximale de 10 000 $ CA, ou sur déclaration de culpabilité par mise en accusation, d’une amende maximale de 100 000 $ CA.

[traduction] « Le délai de déclaration est court, c’est-à-dire “le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte”. »


GTDT: Quels sont les plus gros enjeux auxquels doivent faire face les entreprises en ce qui concerne le respect de la vie privée, lorsqu’elles sont victimes d’une atteinte à la protection des données?

PK: Lors d’une atteinte à la sécurité des données, et qu’une course contre la montre s’engage pour circonscrire le préjudice éventuel, l’entreprise dispose de très peu de temps pour réagir, et le moment n’est pas propice à la réflexion. Afin d’atténuer efficacement les risques, il est important de faire preuve d’anticipation et de réflexion face aux problèmes éventuels, et ce longtemps à l’avance, au moyen d’un solide plan de mise en œuvre et d’intervention en cas d’atteinte à la sécurité; la mise en application de ce plan devrait faire l’objet de plusieurs essais pilotes (lors de simulations, par exemple) pour s’assurer que tous les volets du plan fonctionnent bien au moment du déploiement. (Voir ci-après pour en savoir davantage à propos d’un plan de mise en œuvre et d’intervention en cas d’atteinte à la sécurité efficace.)

Quoi qu’il en soit, le moment venu, il faut agir rapidement. Les plus grandes difficultés qui surviennent dans le « feu de l’action » en cas d’atteinte aux mesures de sécurité concernent l’étape des vérifications préliminaires. Essayer de trouver la source de l’atteinte et de circonscrire la fuite des données le plus rapidement possible peut s’avérer particulièrement compliqué. Parfois, il est possible de déceler le problème et d’intervenir immédiatement en prenant notamment les mesures suivantes : récupérer les documents ou les disques durs perdus, modifier les mots de passe, installer des correctifs dans les logiciels infectés, fermer immédiatement l’accès aux serveurs de l’entreprise, isoler les données compromises du reste du réseau, etc. Toutefois, il arrive qu’il soit impossible de trouver la source de la perte de données. Certains profils de comportements suspects sur le réseau peuvent demeurer à jamais un mystère; un rançongiciel peut s’avérer une fausse ou une réelle menace; les imposteurs à l’origine de stratagèmes de manipulation sociale peuvent ne jamais être identifiés; et des documents ou des disques durs manquants, ou d’autres appareils mobiles disparus pourraient ne jamais être retrouvés.

Par contre, on oblige les organisations à recueillir des faits concrets afin de déterminer, entre autres, la nature et l’étendue des renseignements qui ont été atteints, leur degré de sensibilité, le nombre d’intéressés, que ces renseignements aient été ou non protégés par des mesures cryptographiques adéquates, afin qu’elles puissent évaluer correctement si le seuil déclenchant l’obligation de déclarer l’atteinte aux mesures de sécurité des données aux organismes de réglementation et aux intéressés a été atteint. Le délai de déclaration est court, soit « le plus tôt possible » après que l’organisation a conclu qu’il y a eu atteinte, à défaut de quoi, l’organisation s’expose à des pénalités importantes. Bien que la tentation soit grande de déclarer toute atteinte, par mesure préventive, ce faire avant de connaître tous les faits risquerait d’inquiéter indûment les intéressés.

Lorsqu’une organisation a déterminé qu’il y a lieu de déclarer une atteinte aux organismes de réglementation et d’en donner avis aux intéressés, la difficulté consiste à décider quoi dire et à quel moment, puisque la situation pourrait évoluer rapidement.  Les organisations pourraient être tentées de communiquer tous les faits connus afin de faire preuve de transparence et de donner une impression de certitude, de prévisibilité et de contrôle de la situation, mais d’un autre côté, si elles sont obligées de revenir sur des renseignements déjà communiqués parce qu’elles découvrent ultérieurement de nouveaux faits possiblement contradictoires, cela risque d’entacher leur crédibilité et même éventuellement de donner lieu à une enquête réglementaire.     

Après les questions du quoi et du quand, vient celle du comment.  Comment doit-on aviser les intéressés? Dans un effort d’atténuation du préjudice éventuel, les organisations bien intentionnées pourraient, par inadvertance, intervenir prématurément en voulant communiquer l’information le plus rapidement possible, sans prendre le temps de bien réfléchir au mécanisme qu’il convient d’utiliser. Parfois, donner un avis directement à d’autres personnes (notamment, des membres de la famille, des colocataires ou des collègues de travail), d’une manière qui pourrait par mégarde divulguer des renseignements personnels sensibles concernant des intéressés, pourrait ne pas être approprié lorsque cela risque de causer plus de mal que de bien. Les lois canadiennes reconnaissent expressément que les avis donnés indirectement (au moyen d’un avis public) peuvent être une solution de rechange acceptable, lorsque les circonstances le justifient, et les organisations devront donc examiner soigneusement cette option.

Dans le même ordre d’idées, les organisations bien intentionnées pourraient s’empresser d’offrir des services de surveillance de la solvabilité et faire immédiatement appel à des entreprises se spécialisant dans ce domaine afin qu’elles fournissent ces services aux intéressés dans le but d’atténuer le préjudice, tout en omettant l’étape préalable nécessaire qui consiste à obtenir le consentement de l’intéressé. Et lorsque des mineurs font partie du groupe des intéressés, le processus de communication avec les intéressés et d’obtention du consentement vient rajouter une couche supplémentaire de complexité.

Souvent, ces enjeux peuvent se manifester en temps réel, dans les médias.  Il serait judicieux pour les organisations de pouvoir compter sur des spécialistes en relations publiques, bien versés dans la gestion des communications de crise et prêts à intervenir en cas de besoin. Elles peuvent choisir de s’adjoindre un spécialiste interne, ou de faire appel à un tiers. Les organisations doivent s’attendre à quelques différends entre les recommandations de l’agence de relations publiques sur ce qu’il y a lieu de communiquer, quant à la préservation de leur réputation et celles de leurs conseillers juridiques, quant à la responsabilité civile éventuelle. 

Dans les cas d’atteintes graves qui laissent entrevoir la perspective de litiges, y compris de recours collectifs et de demandes reconventionnelles contre des responsables du traitement de données possiblement négligents, les organisations doivent faire face à d’autres défis, puisqu’elles doivent tout faire pour protéger le secret professionnel des juristes tout en préservant l’ensemble de la preuve dans un contexte volatile de la situation d’urgence. Lorsque des éléments criminels sont possiblement en jeu, notamment des pirates malveillants, un rançongiciel ou des attaques pouvant être commanditées par un État et visant une infrastructure essentielle, les organisations peuvent se sentir complètement dépassées à tenter de faire face à des situations parfois effrayantes. Les organisations doivent gérer ces situations avec la plus grande prudence et elles doivent savoir quand il y a lieu de demander l’aide des forces de l’ordre ou d’autres organismes publics.

[traduction] « Les lois canadiennes reconnaissent expressément que la publication d’avis indirects (un avis public) est une solution de rechange acceptable, lorsque les circonstances le justifient. »


GTDT: Quelles sont les pratiques exemplaires que les organisations de votre pays mettent en œuvre afin d’améliorer leur capacité d’intervention en matière de cybersécurité?

Rachel St John: Comme pratique exemplaire, de nombreuses organisations ayant des activités au Canada établissent des plans de cybersécurité exhaustifs traitant expressément de la mise en œuvre de l’intervention en cas d’incident. Ces plans sont très personnalisés et ils définissent les rôles et les responsabilités essentiels dans l’organisation. Ils comportent nécessairement un exercice de préparation détaillé portant sur les données et les risques propres de l’organisation.

Les plans de cybersécurité traitent entre autres des questions essentielles suivantes.

  • La définition des rôles et des responsabilités essentiels des membres de l’organisation, y compris la désignation de la fonction administrative qui jouera le rôle de coordonnateur de l’intervention.
  • L’élaboration de stratégies de maintien du privilège juridique à l’égard des communications et des documents relatifs à un incident.
  • L’attribution d’une responsabilité relative à la tenue d’un registre exact, complet et à jour à l’égard de l’atteinte à la sécurité et des décisions prises relativement à l’intervention.
  • L’illustration de mesures pertinentes de confinement de l’atteinte à la sécurité et d’étapes de vérification qui concordent avec les risques propres à l’organisation.
  • La détermination des obligations de donner avis et de déclaration applicables dans les territoires concernés, y compris celles de déclaration aux intéressés et aux autorités de réglementation prescrites par les lois canadiennes sur la protection de la vie privée.
  • La planification des communications et des relations avec les parties prenantes en cas d’incident.

Une fois qu’elles ont élaboré leur plan, les organisations devraient réaliser périodiquement des simulations afin de former leur personnel à intervenir en cas d’atteinte à la cybersécurité et de déceler d’éventuelles lacunes du plan ou les points de celui-ci qui méritent d’être améliorés.

[traduction] « Même les meilleures ententes de confidentialité ne peuvent avoir préséance sur les lois locales d’un territoire étranger, y compris les lois portant sur l’application de la loi et sur la sécurité nationale. »


GTDT: Y a-t-il des préoccupations particulières concernant la protection des renseignements personnels et la sécurité des données dont les entreprises doivent tenir compte lorsqu’elles envisagent de transférer leurs données dans un environnement infonuagique?

John Salloum: Les lois canadiennes sur la protection des renseignements personnels dans le secteur privé imposent des obligations relativement uniformes aux organisations du secteur privé qui confient à des tiers fournisseurs le traitement des renseignements personnels. Ces obligations sont généralement inscrites dans des règles en matière d’imputabilité, de protection et de transparence, lesquelles sont fondées sur les lois applicables.

Imputabilité

La loi fédérale canadienne qui régit la protection des renseignements personnels dans le secteur privé (la Loi sur la protection des renseignements personnels et les documents électroniques ou LPRPDE) précise qu’une « organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à un tiers aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, assurer un degré comparable de protection aux renseignements qui sont en cours de traitement par un tiers. » (LPRPDE, règle 4.1.3) Le terme « comparable » ne signifie pas « identique », mais il signifie « globalement équivalent ».

Par conséquent, une organisation qui transfère des renseignements personnels à un tiers fournisseur de services infonuagiques aux fins de traitement demeure responsable de la protection des renseignements personnels qu’elle transfère. Il appartient aux organisations de comprendre les processus de traitement des renseignements personnels du prestataire de services d’infogérance (LPRPDE no 2007-377; no 2007-386); elles doivent en outre mettre en place les ententes de confidentialité appropriées avec les entrepreneurs et faire en sorte que les sous-traitants soient liés par des ententes similaires (LPRPDE no 2002-42; LPRPDE no 2002-35). Lorsque la communication de renseignements intervient entre une société mère et un membre de son groupe, un « autre » moyen que l’engagement de fournir un degré comparable de protection peut être considéré adéquat, par exemple l’utilisation d’un réseau privé fermé ainsi que de stratégies et de techniques détaillées de protection des renseignements personnels (LPRPDE no 2006-333).

La LPRPDE n’interdit pas le transfert des renseignements personnels à des fournisseurs de services établis à l’étranger. En ce qui concerne l’évaluation du « degré comparable de protection », la LPRPDE n’oblige pas les organisations à effectuer une comparaison point par point entre les lois étrangères et les lois canadiennes, mais elle exige qu’elles fassent preuve de diligence lorsqu’elles traitent avec des fournisseurs établis à l’étranger. Car même les meilleures ententes de confidentialité n’ont pas préséance sur les lois locales d’un territoire étranger, y compris les lois sur l’application de la loi et la sécurité nationale. Selon les Lignes directrices sur le traitement transfrontalier des données personnelles du CPVP (les « lignes directrices du CPVP »), « les organisations prennent en considération tous les éléments entourant l’opération. L’organisation pourrait ainsi se rendre compte qu’il serait mal avisé de procéder à certains transferts en raison de la nature instable d’un régime étranger. Dans d’autres cas, les renseignements se révèlent de nature si délicate qu’ils ne devraient être envoyés à aucune administration étrangère ».

Mesures de sécurité

La LPRPDE comporte des obligations en matière de mesures de sécurité qui obligent une organisation à mettre en œuvre des moyens matériels et des mesures techniques et administratives raisonnables en vue de protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la reproduction, l’utilisation ou la modification non autorisées (LPRPDE, règle 4.7). Ces obligations continuent de s’appliquer aux organisations même lorsque les renseignements personnels sont sous la garde d’un tiers fournisseur de services.

Les Lignes directrices du CPVP précisent que les organisations doivent prendre toutes les mesures raisonnables pour protéger les renseignements personnels lorsqu’ils se trouvent sous la garde de tiers fournisseurs de services.  Par exemple, l’organisation doit s’assurer que le tiers fournisseur de services a mis en place des politiques et des processus pertinents (y compris de la formation à l’intention de son personnel et des mesures de sécurité efficaces). L’organisation devrait également avoir le droit de vérifier et d’inspecter les moyens de traitement et de stockage employés par le tiers fournisseur de services et se prévaloir de ce droit, lorsque c’est opportun.

Transparence et avis

Même si la LPRPDE n’exige pas que les organisations obtiennent le consentement des intéressés avant de transférer leurs renseignements personnels à des tiers fournisseurs de services, y compris des prestataires de services d’infogérance, dans le cas des activités de traitement directement liées aux fins premières pour lesquelles les renseignements personnels ont été recueillis, les organisations sont tenues de faire preuve de transparence concernant cette pratique, surtout lorsque le transfert est destiné outre-frontière. Selon les Lignes directrices du CPVP, « les organisations doivent aviser leurs consommateurs de façon claire et compréhensible que leurs renseignements personnels pourraient être traités dans un pays étranger, et que les organismes d’application de la loi et de sécurité nationale de ce pays pourraient y accéder. Idéalement, cela devrait être fait au moment de la collecte des renseignements. »

Les lois provinciales régissant le secteur privé établissent généralement un régime similaire à celui décrit ci-dessus, mais certaines normes supplémentaires relatives à la circulation transfrontalière des données sont particulières au Québec et à l’Alberta et doivent être prises en compte.

Au Québec, une organisation doit prendre des mesures raisonnables afin de s’assurer que les renseignements personnels transférés à des fournisseurs de services hors du Québec ne seront pas utilisés à d’autres fins et qu’ils ne seront pas communiqués à des tiers sans consentement (sauf dans certaines circonstances prévues par la Loi). La Loi précise également que l’organisation doit refuser de transférer des renseignements personnels à l’extérieur du Québec si elle n’est pas convaincue que les renseignements bénéficieront de cette protection.

En Alberta, les organisations qui font appel à des tiers fournisseurs de services doivent inclure les renseignements suivants dans leurs politiques et dans leurs procédures :

(1) le nom des pays étrangers où la collecte, l’utilisation, la divulgation ou le stockage ont lieu ou pourraient avoir lieu; et

(2) les fins pour lesquelles le tiers fournisseur de services à l’étranger a été autorisé à recueillir, à utiliser ou à divulguer des renseignements personnels pour le compte ou au nom de l’organisation.

De plus, en Alberta, l’avis aux intéressés doit être donné au moment de la collecte ou du transfert des renseignements personnels, et il doit préciser ce qui suit.

  1. La façon dont l’intéressé peut obtenir de l’information écrite concernant les politiques et les pratiques de l’organisation en ce qui concerne les fournisseurs de services à l’étranger.
  2. Le nom ou titre du poste d’une personne qui est en mesure de répondre, au nom de l’organisation, aux questions de l’intéressé concernant la collecte, l’utilisation, la divulgation ou le stockage de renseignements personnels par des fournisseurs de services situés à l’étranger et agissant pour le compte ou au nom de l’organisation.

GTDT: Comment le gouvernement de votre pays s’y prend-il pour traiter les menaces graves et les activités criminelles en matière de cybersécurité ?

PK: Connaissant l’importance stratégique de la cybersécurité pour la compétitivité, la stabilité économique et la prospérité à long terme du Canada, le gouvernement canadien, dans son budget 2018, a alloué plus de 500 millions de dollars canadiens afin de soutenir la mise en œuvre de la Stratégie nationale de cybersécurité (2018) par les équipes de cybersécurité du gouvernement du Canada, qui travaillent dans plusieurs ministères coordonnés par Sécurité publique Canada. La Stratégie de 2018 tire parti de la première stratégie de cybersécurité du Canada adoptée en 2010; ses principaux thèmes sont les suivants :

(1) veiller à ce que les systèmes canadiens soient sécurisés et résilients afin d’améliorer les capacités et la résilience en matière de cybersécurité;

(2) développer un écosystème du cyberespace novateur et adaptable afin d’appuyer les recherches avancées et d’encourager l’innovation dans le domaine de la cybersécurité;

(3) soutenir un leadership, une gouvernance et une collaboration efficaces entre les différents paliers de gouvernement canadiens et leurs partenaires ailleurs dans le monde afin de renforcer le rôle de leadership que joue le gouvernement fédéral dans la protection et la promotion de la cybersécurité au Canada, en étroite collaboration avec les provinces et les alliés internationaux.

Dans le cadre de la stratégie nationale 2018, plus de 155 millions de dollars canadiens ont été expressément affectés à la création d’un nouveau Centre canadien pour la cybersécurité, qui fera partie du Centre de la sécurité des télécommunications (CST). Le nouveau Centre, annoncé en juin 2018, aura pour mission de regrouper les capacités et l’expertise, de rationaliser les efforts et de faciliter la coordination entre les ministères fédéraux concernés dotés de responsabilités opérationnelles en matière de cybersécurité. Le Centre doit également servir de ressource centralisée et digne de confiance pour des conseils, du soutien et des services destinés aux Canadiens.

Conscient des menaces croissantes que représentent pour la sécurité nationale les attaques visant les infrastructures essentielles, tant dans le secteur public que privé, le nouveau Centre aura notamment pour objectifs principaux de tisser des partenariats avec les acteurs du secteur privé et de travailler en plus étroite collaboration avec ces derniers en ce qui concerne l’échange de renseignements concernant l’évolution des menaces en matière de cybersécurité, ainsi que de leur donner des conseils sur les moyens de renforcer leur cyberrésilience.

Plus particulièrement, et comme indiqué sur son site Web :

Le Centre remplira les fonctions suivantes.

  • Tenir le gouvernement canadien et les Canadiens informés sur les questions de cybersécurité, et agir comme source centralisée, précisée et fiable d’information en matière de cybersécurité pour les citoyens et les entreprises du Canada.
  • Protéger les intérêts des Canadiens en matière de cybersécurité en offrant des conseils ciblés, des directives précises et de l’assistance directe et pratique, et en créant de solides partenariats.
  • Développer et diffuser des technologies et des outils spécialisés en cyberdéfense qui permettent d’assurer la cybersécurité de tous les Canadiens.
  • Protéger les systèmes canadiens de cyberdéfense en développant des solutions sophistiquées.
  • Agir à titre de principal responsable des activités opérationnelles et à titre de porte-parole du gouvernement lorsque surviennent des événements de cybersécurité.

De plus, le projet de loi C-59 susmentionné, une fois adopté, renforcerait le mandat du CST et ses pouvoirs de protection de la sécurité et de la résilience du Canada en matière de cybersécurité, lequel comprendrait un nouveau volet consistant à mener des cyberopérations défensives afin de protéger le Canada et les Canadiens contre les cybermenaces étrangères.  Avec ces nouvelles mesures et d’autres efforts concertés, le gouvernement canadien a nettement renforcé ses efforts en vue de contrer les menaces graves contre la cybersécurité et de combattre la cybercriminalité.


GTDT: Lorsque les entreprises envisagent une opération de fusion et acquisition, quelle importance doivent-ils accorder aux risques liés aux atteintes à la vie privée et à la sécurité des données dans le cadre du processus de prise décisions ?

RSJ: Lorsqu’une entreprise envisage une opération de fusion et acquisition, les problèmes de respect de la vie privée et de gestion des données sont des facteurs essentiels à prendre en compte à l’étape de la vérification diligente et quand vient le temps de décider s’il y a lieu de conclure ou non l’opération. À titre préliminaire, la loi fédérale sur la protection des renseignements personnels du Canada, la LPRPDE, contient une exception particulière concernant les opérations commerciales qui permet à une organisation partie à une opération commerciale éventuelle d’utiliser et de communiquer des renseignements personnels sans le consentement des intéressés si les renseignements sont nécessaires à la prise de décision de conclure ou non l’opération. Pour se prévaloir de cette exception, les organisations doivent avoir conclu une entente aux termes de laquelle l’organisation recevant des renseignements s’est engagée à ne divulguer que les renseignements nécessaires à la conclusion de l’opération; à ne les utiliser et à ne les communiquer qu’à des fins liées à l’opération; à les protéger au moyen de mesures de sécurité correspondant à leur degré de sensibilité; dans le cas où l’opération n’est pas réalisée, à les remettre à l’organisation qui les lui a communiqués ou à les détruire.

Des obligations semblables s’appliquent afin de permettre la poursuite de l’utilisation et de la communication des renseignements personnels sans le consentement des intéressés une fois l’opération commerciale effectuée. Ensuite, les parties à l’opération devront également conclure une entente de confidentialité aux termes de laquelle chacune d’entre elles s’engage à n’utiliser et à ne communiquer les renseignements qu’aux seules fins auxquelles ils ont été recueillis et auxquelles il était initialement permis de les utiliser ou de les communiquer, et à assurer leur protection permanente. En outre, les intéressés doivent être avisés, dans un délai raisonnable après la conclusion de l’opération, que l’opération a été réalisée et que leurs renseignements personnels ont été communiqués à la « nouvelle » organisation, et ils doivent avoir l’occasion raisonnable de retirer leur consentement.

Quand vient le temps de décider s’il y a lieu de conclure l’opération, les risques liés au respect de la vie privée et à la sécurité des données et à la façon dont l’organisation visée par l’opération éventuelle a traité ces questions sont des facteurs essentiels à prendre en compte. Les parties à une opération commerciale éventuelle voudront avant tout atténuer le risque dont elles héritent afin de ne pas assumer un degré de risque supérieur à leurs attentes, car les frais associés à une intervention en cas d’atteinte à la sécurité des données et à une enquête réglementaire sont importants. En conséquence, les organisations devraient effectuer les vérifications diligentes nécessaires afin de s’assurer que l’entreprise visée par l’opération éventuelle a géré judicieusement les risques en matière de respect de la vie privée et de sécurité, et qu’elle maintient un programme de protection des renseignements personnels exhaustif et à niveau. Si tel n’est pas le cas, l’acheteur devrait être « sur ses gardes ».

Ce qu’il faut savoir

Lorsque les clients choisissent un avocat pour les conseiller en matière de cybersécurité, quelles qualités devraient-ils surtout rechercher?

De toute évidence, les clients ont besoin d’un avocat qui possède une connaissance approfondie des lois canadiennes sur la protection de la vie privée dans les différents territoires de compétence et une grande expérience en la matière, et qui comprend toutes les exigences réglementaires applicables sur le plan de la conformité. 

Mais les clients ont besoin de beaucoup plus que cela. Les avocats qui sont les mieux à même d’aider une organisation à se préparer à l’éventualité d’une atteinte à la cybersécurité et à intervenir en cas d’atteinte sont ceux qui ont une vaste expérience dans ce domaine, c’est-à-dire les avocats qui ont déjà aidé bon nombre de clients à faire face aux atteintes à la sécurité des données les plus vastes, les plus complexes, les plus importantes et les plus médiatisées au pays. Par exemple, ceux qui savent quelles questions poser à l’organisation ou aux fournisseurs concernés et quoi rechercher lors des vérifications internes en vue de cerner la cause première ou la source de l’atteinte; qui comprennent suffisamment bien la technologie pour recommander les étapes de vérification diligente qui seront nécessaires ou probablement exigées du point de vue juridique afin d’atténuer le risque de nouvelle fuite; qui savent quand et comment déclarer une atteinte aux organismes de réglementation et aviser les intéressés touchés et les tiers retenus afin de réduire tout préjudice éventuel; et qui savent comment traiter avec les médias en situation de gestion de crise de manière à faire preuve de la plus grande transparence possible sur le plan des relations avec les médias, tout en protégeant l’organisation contre toute responsabilité civile et en préservant le secret professionnel de l’avocat, au besoin. Car c’est grâce à l’expérience accumulée dans le cadre de tous ces autres cas que les clients peuvent comparer leur propre situation et tirer profit de cette expérience. 

Les clients souhaitent également que les avocats possèdent une expérience pratique et concrète et qu’ils aient l’habitude de traiter avec les organismes de réglementation dans le cadre d’enquêtes réglementaires et dans différentes situations, certaines étant résolues par entente à l’amiable, d’autres étant nécessairement plus compliquées à résoudre et aboutissant parfois à un litige ou à un litige potentiel. De plus en plus, les avocats qui exercent dans ce domaine doivent savoir à quoi s’attendre de la part des organismes de réglementation en ce qui a trait aux processus d’enquête et aux pratiques exemplaires. Ils doivent exceller dans l’art de communiquer avec les organismes de réglementation de manière constructive et dans un esprit de collaboration, tout en étant capables de défendre le droit de leur client à l’équité procédurale, quand il le faut. En outre, les avocats doivent traiter aisément avec plusieurs organismes chargés de la protection des données, et ce en même temps et en parallèle, étant donné le nombre croissant d’enquêtes conjointes et le niveau accru de collaboration entre les organismes de réglementation. 

Enfin, les clients devraient choisir des avocats capables, grâce à leur expérience, de résumer tous les éléments essentiels d’une atteinte à la sécurité et d’un plan d’intervention. En tirant parti des leçons apprises, les avocats sont mieux outillés pour prévoir le type de problèmes susceptibles de survenir, les différents scénarios et les modalités possibles, et ils peuvent ainsi aider les clients à élaborer un plan et à écarter les risques en amont et en conséquence.

Quels sont les enjeux qui, dans votre pays, rendent la pratique en matière de respect de la vie privée et de cybersécurité complexe ou intéressante?

L’interaction entre les lois canadiennes sur la protection de la vie privée, les lois anti-pourriel, les lois sur la protection du consommateur et d’autres exigences propres à différents secteurs représente un défi dans ce domaine, mais ne fait que rendre cette pratique intéressante. De même, les recoupements entre le droit au respect de la vie privée, le droit de la concurrence et les droits de la personne ajoutent quelques couches de complexité et rendent le travail fascinant. Aussi difficile que cela puisse être parfois, aider les organisations à résoudre ces complexités réglementaires et à mettre en œuvre des solutions d’affaires pratiques peut s’avérer incroyablement gratifiant.

Outre l’aspect juridique, l’ère de l’analyse des données et de l’intelligence artificielle apporte une toute nouvelle dimension éthique avec laquelle les organisations doivent aujourd’hui composer et qui est appelée à s’intensifier. Pour relever le défi, il faudra prévoir, cerner, comprendre et traiter les questions d’éthique dans le cadre de processus EFVP (d’évaluation des facteurs relatifs à la vie privée) et de gouvernance des données, lesquels sont déjà bien établis. De plus en plus, les organisations devront s’assurer que leurs initiatives innovatrices en matière de données sont non seulement conformes à la loi, mais également résistantes, responsables et acceptables sur le plan social et, au bout du compte, durables. Les conseiller sur les moyens de s’y prendre pour faire tout cela de façon à ce que l’innovation puisse s’épanouir, tout en tenant compte de la responsabilité sociale générale, fera dorénavant partie intégrante du rôle essentiel de l’avocat spécialisé en droit du respect de la vie privée. Aider les clients à définir des balises appropriées, plutôt que des barrages, en élaborant des modèles d’autorégulation efficaces et démontrables sera l’un des défis les plus stimulants à relever dans les années à venir.

Comment le domaine du respect de la vie privée évolue-t-il dans votre pays?

Comme dans de nombreux autres pays, le domaine du respect de la vie privée au Canada est de plus en plus complexe en raison de l’évolution rapide des technologies, des modèles commerciaux nouveaux et émergents, de l’évolution et de l’arrivée à maturité des « entreprises de données » et de la vulnérabilité sans cesse croissante aux menaces à la cybersécurité.  En règle générale, les médias canadiens et le grand public sont de plus en plus exigeants dans leur quête visant à comprendre ce qu’il advient, en coulisse, de leurs renseignements personnels, repoussant les pratiques irrespectueuses et réclamant une plus grande transparence à l’égard des pratiques de gestion des données de la part des organisations et des gouvernements.

Par conséquent, les parlementaires se sont eux aussi mobilisé davantage sur de nombreuses questions relatives la protection des renseignements personnels touchant leurs mandants. Des comités parlementaires ont récemment entrepris des études approfondies en vue d’examiner les incidences sur la protection des renseignements personnels des efforts renforcés du Canada en matière de sécurité nationale, le respect des renseignements personnels des Canadiens à la frontière canado-américaine, l’arrivée des véhicules connectés et autonomes, la grave atteinte à la protection des renseignements personnels dans l’affaire Cambridge Analytica, la neutralité d’Internet et la nécessité d’une réforme des lois sur la protection de la vie privée, tant dans le secteur privé que public. Sentant que la « concurrence » d’autres régimes réglementaires commençait à s’intensifier ailleurs dans le monde, et voyant que les lois du Canada en matière d’information commençaient à perdre de leur éclat en comparaison, des projets de loi fédéraux ont été déposés afin d’actualiser la Loi sur l’accès à l’information, d’apporter des modifications à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), et d’imposer de nouvelles obligations en matière de protection des renseignements personnels aux partis politiques.

Au cours des dernières années, on a également observé au Canada, grâce à plus d’une décennie de fonds fédéraux attribués à la recherche, une nette augmentation de la capacité des groupes de défense militant pour la protection des renseignements personnels et des chercheurs universitaires à réaliser des études de pointe et à publier des travaux précurseurs reconnus à l’échelle internationale dans le domaine du numérique touchant les renseignements personnels.  De même, le niveau de sophistication des différents organismes de réglementation de la protection des renseignements personnels au pays s’est nettement accru au cours des dernières années, alors qu’ils mettent à profit leurs capacités et leurs ressources en collaborant de plus en plus les uns avec les autres et en partageant leurs connaissances, et qu’ils s’efforcent d’innover dans leur rôle à double volet, à savoir l’application et la promotion. 

Quels types d’atteintes à la cybersécurité les entreprises devraient-elles surveiller plus particulièrement dans votre pays?

Les entreprises au Canada, comme celles ailleurs dans le monde, sont confrontées à un nombre sans cesse croissant d’atteintes à la cybersécurité sophistiquées. Les Autorités canadiennes en valeurs mobilières (ACVM), un organisme-cadre réunissant les autorités de réglementation des valeurs mobilières provinciales et territoriales, ont réalisé un sondage auprès des entités canadiennes inscrites concernant la cybersécurité. Les résultats du sondage illustrent bien le type d’atteintes à la cybersécurité que connaissent les entreprises au Canada.

Plus particulièrement, selon les résultats du sondage des ACVM, publiés en octobre 2017, dont le questionnaire a été envoyé à plus de 1 000 sociétés inscrites (dont 63 % ont répondu), environ 51 % des sociétés ont été l’objet d’un cyberincident au cours de l’année visée. Parmi les incidents les plus courants, on compte l’hameçonnage (43 % des sociétés) et les maliciels (18 % des sociétés). De plus, 15 % des sociétés ayant répondu au sondage ont déclaré qu’elles avaient été victimes de tentatives d’usurpation d’identité visant à transférer des fonds ou des valeurs mobilières par des dispositifs électroniques.

Reproduit avec la permission de Law Business Research Ltd. Cet article a d’abord paru dans GTDT – Market Intelligence Privacy & Cybersecurity 2018 (parution : septembre 2018). Pour de plus amples renseignements, veuillez visiter le site www.gettingthedealthrough.com.

Laissez-nous vous aider à vous tenir à jour. Recevez nos mises à jour par courriel.

Abonnez-vous