Déclaration obligatoire des violations de données : êtes-vous prêts?
par David Greenham
Le 18 juin 2015, la Loi sur la protection des renseignements personnels numériques (également appelée la Loi S-4) a reçu la sanction royale. Elle modifie la Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE). En vertu de la Loi sur la protection des renseignements personnels numériques, les organisations victimes d’une violation de données, appelée une « atteinte aux mesures de sécurité », seront bientôt tenues de respecter certaines obligations de déclaration.
- L’organisation devra déterminer lorsque l’atteinte présentera un « risque réel de préjudice grave » à l’endroit d’un individu touché, notamment en évaluant le degré de sensibilité des renseignements personnels en cause et la probabilité que les renseignements aient été mal utilisés.
- Lorsqu’une organisation conclura qu’une atteinte présente un risque réel de préjudice grave, elle sera tenue d’aviser l’individu et de déclarer la violation au Commissaire à la protection de la vie privée (le « Commissaire ») « le plus tôt possible ».
- Elle devra également aviser toute autre organisation qui pourrait être en mesure d’atténuer le préjudice pour l’individu touché.
- L’organisation devra conserver un registre de toutes les atteintes dont elle a connaissance et donner accès au Commissaire à ce registre lorsqu’il en fera la demande. Ce registre devra être conservé pour une période minimale de deux ans.
En vertu du décret émis le 26 mars 2018, les obligations tant attendues de déclaration des violations entreront en vigueur le 1er novembre 2018.
La version définitive des obligations de déclarations a été publiée le 18 avril 2018 dans la Gazette du Canada.
La nouvelle réglementation vise à faire en sorte que :
- toutes les Canadiennes et tous les Canadiens reçoivent des informations cohérentes au sujet des atteintes à la protection des données présentant un risque réel de préjudice grave à leur endroit;
- les avis renferment suffisamment d’information pour permettre aux individus de comprendre l’importance de l’atteinte et de ses conséquences possibles;
- le Commissaire reçoive des informations cohérentes et comparables au sujet des atteintes à la protection des données présentant un risque de préjudice grave;
- le Commissaire soit capable d’exercer une surveillance efficace et de vérifier que les organisations se conforment à l’obligation d’aviser les intéressés d’une atteinte à la protection des données et de déclarer l’atteinte au Commissaire.
Nul doute que l’entrée en vigueur de cette réglementation soulèvera des questions à mesure que les organisations en saisiront les répercussions et les incidences sur leurs affaires.
Qui doit se conformer à la LPRPDE et aux nouvelles exigences?
La LPRDPE s’applique aux organisations du secteur privé qui ne sont pas assujetties à la réglementation fédérale et qui exercent des activités dans les provinces ou les territoires suivants :
- Manitoba;
- Nouveau-Brunswick;
- Terre-Neuve-et-Labrador;
- Territoires du Nord-Ouest;
- Nouvelle-Écosse;
- Nunavut;
- Ontario
- Île-du-Prince-Édouard;
- Saskatchewan;
- Yukon.
La LPRDPE ne s’applique pas aux provinces suivantes, qui disposent de leurs propres lois sur la protection des renseignements personnels, lesquelles sont réputées « essentiellement similaires » à la LPRDPE :
- Alberta;
- Colombie-Britannique;
- Québec.
Cependant, si des renseignements personnels sont transmis dans une autre province que celles indiquées ci-dessus, la LPRDPE s’appliquera. Certaines des lois provinciales susmentionnées comportent déjà des clauses relatives à la déclaration obligatoire des violations de données, alors que ce n’est pas le cas pour d’autres. Il est donc probable qu’elles se conformeront toutes à cette exigence, dans le but de demeurer « essentiellement similaires » à la LPRDPE.
Qu’est-ce qu’un « risque réel de préjudice grave »?
La LPRPDE définit le risque réel de préjudice grave comme « la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles. »
Pour déterminer si une atteinte aux mesures de sécurité constitue un risque réel de préjudice grave pour un individu, les facteurs suivants doivent être pris en compte :
- le degré de sensibilité des renseignements personnels en cause;
- la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être.
Que sont des « mesures de sécurité appropriées » et comment peuvent-elles être atteintes?
La LPRPDE définit l’« atteinte aux mesures de sécurité » comme toute « communication non autorisée ou perte de renseignements personnels, ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation ».
Les mesures de sécurité appropriées varieront selon la sensibilité des renseignements à protéger, mais engloberont, de manière générale :
- la protection physique, notamment le verrouillage des classeurs, des bureaux ou des salles de données;
- la protection logique, soit le contrôle des accès selon les rôles et le besoin de connaître.
- les contrôles techniques, dont les mots de passe et le cryptage.
Des exemples d’atteintes aux mesures de sécurité pourraient englober, mais sans s’y limiter :
- la perte ou le vol d’un ordinateur portable ou d’un support amovible de données contenant des renseignements personnels permettant d’identifier des clients;
- l’ouverture d’un courriel d’hameçonnage par un employé, la réponse à un tel courriel, la divulgation par inadvertance d’un mot de passe ou l’autorisation de l’installation d’un logiciel malveillant d’enregistrement de frappe;
- la perte ou le vol de dossiers imprimés contenant des renseignements personnels permettant d’identifier des personnes.
Comment savoir s’il y a eu une violation?
La plupart des organisations sont mises au fait de violations des données que des mois plus tard. Selon l’étude Cost of Data Breach Study réalisée en 2017 par le Ponenon Institute, un pirate peut agir sans être détecté durant près de 191 jours en moyenne. En réalité, la majorité des organisations ne repèrent pas elles-mêmes les violations, elles en sont plutôt informées par des parties externes, comme des organismes responsables de l’application de la loi, des clients, des fournisseurs de services, des partenaires commerciaux, et parfois par le pirate lui-même.
Les outils SIEM (Security Information and Event Management) et les systèmes de détection et de prévention d’intrusions (IDS/IPS) qui repèrent les activités douteuses dans les journaux des systèmes et le trafic réseau constituent un moyen efficace de détecter les tentatives d’accès non autorisé ou, dans certains cas, des violations actuelles. D’autres technologies peuvent sonner l’alarme lorsqu’il y a une augmentation soudaine de l’activité afin de repérer (ou souvent de bloquer) les tentatives de transfert de quantités importantes de données à partir de l’organisation.
Comment peut-on contrer les violations?
Il est important de connaître le type de données détenues par l’organisation, la sensibilité de ces données ainsi que l’endroit où elles sont conservées. Procéder à un recensement des données constitue donc la première étape essentielle de ce processus. Des contrôles d’accès stricts doivent être appliqués aux données confidentielles afin d’éviter tout accès non autorisé. Les systèmes doivent être tenus à jour et les rustines de sécurité doivent être installées afin de réduire les vulnérabilités, en particulier des systèmes exposés à l’Internet, dont les serveurs Web et les serveurs de courriel.
Bien que les contrôles de prévention permettent de prévenir une intrusion ou une violation des données, les contrôles de détection représentent une défense par couches utile lorsque les contrôles de prévention font défaut. Se doter de journaux de sécurité en nombre suffisant est essentiel pour détecter les violations et enquêter sur celles-ci. Les systèmes clés, dont les pare-feu et les autres appareils réseau, systèmes de sécurité et serveurs, devraient transmettre des journaux de sécurité à un système centralisé d’analyse des journaux afin de détecter toute activité anormale. Le recours à un outil de contrôle des journaux fournit un niveau de conscience situationnelle qui peut être difficilement obtenu lorsqu’un volume élevé de journaux doit être examiné par des personnes.
Procéder à des évaluations régulières du risque ou à des audits de tiers sur l’infrastructure de TI de l’organisation peut permettre de demeurer au fait des nouvelles menaces et de repérer les contrôles de sécurité à améliorer. En outre, puisque les violations qui surviennent lorsqu’un fournisseur de services tiers est attaqué et sert de point d’entrée pour d’autres attaques, il est prudent d’évaluer les risques que les tiers représentent pour l’organisation.
Comment réduire les risques après une violation?
Plus vite une attaque sera détectée, plus elle pourra être contenue et réglée rapidement. Se doter d’un plan d’intervention en cas d’incident bien documenté et testé peut permettre de garantir une réponse appropriée, efficace et en temps opportun. Si votre organisation est victime d’une violation de données, les tâches suivantes doivent être mises en œuvre afin de se conformer aux nouvelles exigences de déclaration :
- Procéder à l’évaluation du risque.
- Conserver un registre de toutes les violations durant une période d’au moins deux ans à compter de la date de déclaration. Le registre de toutes les violations est essentiel puisque le Commissaire pourrait demander à le consulter.
- Informer le Commissaire (dans le cas d’un risque réel de préjudice grave).
- Informer les individus touchés et prendre les mesures nécessaires pour atténuer les répercussions pour eux, dans la mesure du possible.
Quel est le délai exigé pour déclarer une violation?
De nombreuses organisations se demanderont sûrement ce que « le plus tôt possible » signifie. Il est prévu dans la loi que les enquêtes relatives aux violations peuvent être longues et prendre des semaines, voire des mois, à réaliser. Dans de tels cas, il serait imprudent d’attendre la conclusion de l’enquête avant de déclarer la violation au Commissaire.
Une méthode pratique consiste à transmettre les renseignements initiaux au Commissaire, puis à lui faire parvenir ultérieurement une mise à jour du rapport. Il est recommandé d’aviser initialement le Commissaire dans les 48 à 72 heures suivant la détection de la violation.
En quoi consiste l’avis?
Pour aviser le Commissariat à la protection de la vie privée du Canada (Commissariat), un formulaire peut être téléchargé sur le site Web du Commissariat. Les renseignements suivants doivent être fournis :
- des renseignements sur l’organisation, y compris les coordonnées d’une personne-ressource;
- le tiers qui signale la violation (s’il y a lieu) et ses coordonnées;
- le lieu et la date de l’incident et la date à laquelle il a été découvert;
- la description de l’incident, de sa cause (si elle est connue) et du nombre estimé de personnes touchées et le type de personnes touchées (p. ex. clients, employés);
- le type de renseignements personnels en cause;
- une courte description des mesures prises pour contenir la violation;
- les personnes avisées de l’incident (p. ex. personnes touchées, forces de l’ordre, autres) et le moment de cet avis; (date).
Les personnes touchées peuvent être avisées de différentes façons, de la manière que l’organisation communique habituellement avec elles. L’organisation peut les informer par courriel, avis sur application mobile, message texte, courriel, téléphone ou autrement.
Quelles sont les conséquences si une organisation omet de divulguer une violation de données personnelles?
Les organisations qui omettent intentionnellement de divulguer une violation de données personnelles au Commissariat à la protection de la vie privée du Canada ou qui ne conservent pas de registres des violations précédentes s’exposent à des amendes pouvant atteindre 100 000 $. De plus, le Commissariat pourrait dévoiler leur nom publiquement. Les dommages à la réputation de l’organisation pourraient donc être supérieurs au montant de l’amende compte tenu de la perte de la confiance des consommateurs.
Comment l’équipe de Richter peut vous aider
Toute organisation peut être confrontée à une violation des données, mais ce qui importe le plus est sa manière d’y répondre. Comprendre la nouvelle loi et s’y conformer peut être complexe, mais ce faisant, vous protégerez votre réputation auprès de vos clients et de vos consommateurs et vous respecterez la loi.
Références
Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)
http://laws-lois.justice.gc.ca/PDF/P-8.6.pdf
Loi sur la protection des renseignements personnels numériques
http://laws-lois.justice.gc.ca/PDF/2015_32.pdf
Gazette du Canada, vol. 151, no 35 — 2 septembre 2017
http://www.gazette.gc.ca/rp-pr/p1/2017/2017-09-02/html/reg1-fra.html
Gazette du Canada, vol. 152, no 8 — 18 avril 2018
http://www.gazette.gc.ca/rp-pr/p2/2018/2018-04-18/pdf/g2-15208.pdf
Ponemon Institute Research Report: 2017 Cost of Data Breach Study (en anglais seulement)
https://www.ponemon.org/blog/2017-cost-of-data-breach-study-united-states
Aperçu des lois sur la protection des renseignements personnels au Canada