Le 1er novembre de l’année dernière, les entreprises ont été assujetties à un nouveau règlement sur la déclaration obligatoire d’atteintes à la vie privée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale relative à la protection des renseignements personnels applicable au secteur privé au Canada.
Les organisations assujetties à la LPRPDE sont tenues de déclarer au Commissariat toute atteinte aux mesures de sécurité concernant des renseignements personnels qui présentent un risque réel de préjudice grave à des individus. Elles doivent également aviser les intéressés au sujet de ces atteintes et conserver un registre de toutes les atteintes à la protection des données survenues au sein de l’organisation en question.
Auparavant, les déclarations des atteintes à la protection des données envoyées au Commissariat se faisaient sur une base volontaire.
Depuis que ces déclarations sont obligatoires, leur nombre a grimpé en flèche. Certaines de ces déclarations concernaient des entreprises bien connues, mais nous avons été témoins aussi de volumes considérables provenant de petites et moyennes entreprises.
Avec près d’un an d’expérience à notre actif, nous avons fait quelques observations que nous aimerions partager; étant donné que nous célébrons l’anniversaire de cet important jalon, nous ne pouvions imaginer meilleur moment pour le faire.
Les chiffres
Text version
Type d'atteinte
Type d’incident | Total des déclarations d’atteinte |
---|---|
Divulgation accidentelle | 147 |
Perte | 82 |
Vol | 54 |
Accès non autorisé | 397 |
Total | 680 |
Depuis le 1er novembre 2018, nous avons reçu 680 déclarations d’atteinte à la vie privée. C’est six fois le volume que nous avions reçu au cours de la même période un an plus tôt. Il s’agit d’une augmentation vertigineuse et plus importante que ce que nous avions prévu compte tenu de l’expérience de nos homologues du Commissariat à l’information et à la protection de la vie privée de l’Alberta lorsque leurs lois sur la déclaration obligatoire sont entrées en vigueur. Ces déclarations témoignent explicitement et plus clairement des défis auxquels font face les entreprises canadiennes.
Selon ces déclarations, le nombre de Canadiens touchés par une atteinte à la protection des données dépasse largement 28 millions. Ce chiffre comprend évidemment certaines des fuites les plus graves qui ont fait les manchettes (par exemple Desjardins et Capital One).
Notre travail et nos observations, jusqu’à ce jour, ont mis en lumière l’importance de prendre des mesures pour réduire les risques d’atteinte à la vie privée. Voici quelques conseils :
- Prenez connaissance des renseignements personnels dont vous disposez, de l’endroit où ils se trouvent et de ce que vous en faites. Quand recueillez-vous des renseignements personnels et dans quel contexte? Où cette information est-elle acheminée? Quelles personnes peuvent y accéder et quel usage en font-elles? Vous devez connaître vos données pour pouvoir les protéger!
- Prenez connaissance de vos vulnérabilités. Faites des évaluations du risque et de la vulnérabilité et/ou des tests d’intrusion au sein de votre organisation afin de cerner les menaces à la vie privée. Ne vous concentrez pas uniquement sur les vulnérabilités techniques. Est-ce que des tiers recueillent des renseignements personnels pour votre compte sans que des mesures de sécurité adéquates aient été mises en place? Vos employés sont-ils informés des risques ainsi que de leurs responsabilités en matière de protection de la vie privée? Au cours de la dernière année, le Commissariat a observé des atteintes découlant de chacun de ces scénarios. Déterminez quels sont les points faibles de votre organisation avant qu’une atteinte ne vous oblige à le faire!
- Soyez au courant des atteintes qui ont frappé votre industrie. Les pirates utilisent souvent les mêmes tactiques pour s’en prendre à plusieurs organisations. Portez attention aux alertes et aux autres renseignements transmis par votre association professionnelle et aux nouvelles provenant d’autres sources professionnelles. Ne soyez pas la prochaine cible vulnérable aux atteintes!
Une tendance que nous avons observée dans l’industrie des télécommunications est la fraude par usurpation d’identité où des acteurs malveillants ont réussi à convaincre des représentants du service à la clientèle qu’ils étaient titulaires de compte. Ils y arrivent en puisant dans des renseignements accessibles au public, des renseignements provenant d’autres fuites ou issus de fraudes par hameçonnage ainsi qu’au moyen de techniques d’ingénierie sociale. Une fois qu’ils ont piégé le représentant des services à la clientèle, ils apportent des changements au compte en demandant par exemple qu’un numéro de téléphone soit assigné à une nouvelle carte SIM, ce qui leur permet finalement d’accéder à d’autres comptes. Nous croyons comprendre qu’il y a des cas de fraudeurs qui ciblent une entreprise et, au moment où celle-ci a résolu le problème, les malfaiteurs sont passés à une autre entreprise.
Nouvelles tendances en matière d’atteinte à la vie privée
La majorité des atteintes signalées, c’est-à-dire 58 %, concernait un accès non autorisé.
Nous avons remarqué une hausse importante du nombre de déclarations d’atteinte touchant un petit nombre de personnes – ce n’est souvent qu’une seule personne et parfois il s’agit d’une attaque ciblée voire personnalisée. C’est la méthode appropriée pour déclarer une atteinte : il peut y avoir un risque de préjudice grave même lorsqu’une seule personne est touchée par un incident.
Les employés qui furètent et les piratages d’ingénierie sociale sont des facteurs clés à l’origine des atteintes issues d’accès non autorisés. En fait, environ un incident sur quatre qui nous a été signalé concernait des attaques d’ingénierie sociale, comme l’hameçonnage et l’usurpation d’identité.
Les fraudeurs et autres acteurs malveillants utilisent des tactiques de plus en plus sophistiquées pour convaincre les employés d’une organisation de leur fausse identité. Par exemple, ils ont recours à diverses techniques psychologiques, essaient d’obtenir des renseignements personnels par différents moyens et utilisent des renseignements accessibles au public ainsi que des renseignements divulgués dans le cadre d’autres atteintes à la vie privée.
Plus d’une atteinte à la protection des données sur cinq signalée au Commissariat au cours de la dernière année concernait une divulgation de renseignements accidentelle. Il peut s’agir de situations où des documents contenant des renseignements personnels sont fournis à la mauvaise personne (par exemple, lorsqu’une adresse électronique ou postale incorrecte est utilisée, ou lorsqu’un courriel sans destinataire caché est envoyé) ou sont abandonnés par accident.
Les situations où des renseignements ont pu être divulgués en raison de la perte d’un ordinateur, d’un lecteur de stockage ou de documents papier représentaient 12 % des déclarations d’atteinte à la sécurité des données que nous avons reçues.
Les vols de documents, d’ordinateurs ou de composants informatiques qui ont entraîné une atteinte à la protection des données représentent 8 % des déclarations.
Conseils sur la façon de réagir en cas d’atteinte à la vie privée :
- Limitez-la! (p. ex., mettez fin à la pratique non autorisée, récupérez les dossiers, éteignez le système qui fait l’objet de l’atteinte, révoquez ou changez les codes d’accès informatiques, corrigez les lacunes des systèmes de sécurité matériels ou électroniques).
- Désignez quelqu’un pour la tenue de l’enquête initiale sur la fuite. Cette personne devrait avoir les pouvoirs et les connaissances appropriés pour mener l’enquête initiale et formuler des recommandations préliminaires. Une enquête plus minutieuse pourrait être réalisée plus tard, au besoin.
- À cette étape préliminaire, déterminez qui doit être mis au courant de l’incident à l’interne et, éventuellement, à l’externe. Remontez la filière à l’interne, au besoin, et avisez la personne responsable de la conformité aux mesures de protection des renseignements personnels au sein de votre organisation. N’oubliez pas de consulter notre document intitulé Ce que vous devez savoir au sujet de la déclaration obligatoire des atteintes aux mesures de sécurité pour bien comprendre les obligations de chacun.
- Prenez garde de ne pas détruire des éléments de preuve qui pourraient servir à déterminer la cause de l’incident ou vous permettre de prendre les mesures correctives qui s’imposent.
À quel moment faut-il contacter le Commissariat?
Seule une atteinte à la vie privée qui présente un risque réel de préjudice grave pour les particuliers doit être signalée au Commissariat. Le risque réel de préjudice grave est établi en fonction du degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être.
Attendez, ce n’est pas fini!
Les organisations commerciales assujetties à la LPRPDE doivent savoir que ce n’est pas seulement la déclaration des atteintes à la protection des données qui est devenue obligatoire.
Les organisations commerciales doivent maintenant tenir et conserver un registre de toutes les atteintes aux mesures de sécurité concernant les renseignements personnels en leur possession.
Bien qu’il ne soit pas nécessaire de signaler au Commissariat une atteinte qui ne présente pas de risque réel de préjudice grave, les entreprises doivent tenir un registre de toutes les atteintes qui surviennent dans leur organisation et les conserver pendant au moins deux ans.
Et surtout, le Commissariat a le pouvoir d’examiner de façon proactive ces dossiers.
À ce propos, le Commissariat vient de terminer l’examen de dossiers d’atteinte à la vie privée d’organisations afin d’en évaluer la conformité et de mieux comprendre les plans, les outils et les approches qu’elles utilisent pour s’acquitter de leurs responsabilités en matière d’atteinte à la vie privée et de déclarations.
Les analyses détaillées de ce premier examen sont en cours, mais nous sommes convaincus qu’il nous aidera non seulement à en savoir plus sur la conformité en lien avec la tenue des dossiers sur les atteintes, mais aussi à mieux comprendre les défis et les points faibles pouvant exister dans les organisations. Une fois les analyses terminées, nous prévoyons partager nos résultats, et réfléchir à la façon dont elles peuvent guider les orientations existantes et à venir sur les responsabilités en matière de déclaration obligatoire, y compris l’évaluation du risque réel de préjudice grave.
À la lumière de cet examen et des déclarations d’atteinte à la vie privée que nous avons reçues jusqu’à présent, il est évident que les atteintes représentent une menace constante pour toutes les organisations. Les entreprises doivent être conscientes des innombrables risques qui existent et y faire face en combinant technologie, formations, politiques et processus.
Pour de plus amples renseignements
Ce que vous devez savoir sur la déclaration obligatoire des atteintes aux mesures de sécurité
Dix trucs pour empêcher les employés de fureter
Signaler une atteinte à la vie privée au sein de votre entreprise
Conseils pour atténuer les risques liés à la réutilisation des mots de passe
Réception d’un avis d’atteinte à la vie privée (pour les particuliers)