Sélection de la langue

Recherche

Comparution devant le Comité permanent de la sécurité publique et nationale (SECU) sur la cybersécurité dans le secteur financier comme un enjeu de sécurité économique nationale

Le 3 avril 2019
Ottawa (Ontario)

Déclaration de Gregory Smolynec
Sous-commissaire du Secteur des politiques et de la promotion

(Le texte prononcé fait foi)


Bonjour Monsieur le Président et membres du Comité. Merci pour l’invitation à comparaître devant vous aujourd’hui. Je suis reconnaissant de l’occasion qui m’est offerte, étant donné que votre étude porte sur des questions qui concernent les Canadiens et le Commissariat.

Je tiens à réitérer les préoccupations que j’ai exprimées lorsque j’ai comparu devant le Comité sénatorial permanent des banques et du commerce dans le cadre de son étude sur le système bancaire ouvert, à savoir que le secteur financier doit être édifié sur des assises qui comprennent le respect de la vie privée et d’autres droits fondamentaux. Les banques et les autres institutions financières doivent être dotées de normes rigoureuses en matière de cybersécurité et de protection de la vie privée.

Il est important d’expliquer la distinction entre une atteinte à la vie privée et une atteinte à la sécurité, car les deux termes sont souvent utilisés de façon interchangeable. Une atteinte à la sécurité est un incident qui donne lieu à un accès non autorisé à des données, des applications, des services, des réseaux ou des dispositifs par le contournement des mécanismes de sécurité sous-jacents. Une atteinte à la vie privée se définit comme la perte ou la communication non autorisée de renseignements personnels, ou l’accès non autorisé à ceux-ci, peu importe les moyens utilisés. Une atteinte à la vie privée est plus vaste et peut se produire sans compromettre les systèmes de sécurité.

Et c’est bien là le défi : la cybersécurité et la protection de la vie privée se chevauchent dans une certaine mesure parce que la première peut aider à protéger la seconde, mais dans certains cas, la cybersécurité peut créer des risques pour la protection de la vie privée. Par exemple, il faudra veiller de près à ce que les stratégies et activités de cybersécurité ne conduisent pas à la mise en œuvre de régimes de surveillance massive visant à un monitorage et une analyse illimités et ininterrompus des renseignements personnels des individus.

Les secteurs public et privé ont l’obligation de signaler les atteintes à la sécurité et à la vie privée. En vertu de la Loi sur la protection des renseignements personnels dans le secteur public, cette obligation est prévue dans la politique du Conseil du Trésor, qui exige que le Commissariat soit avisé des atteintes substantielles à la vie privée. Une atteinte est dite « substantielle » si elle concerne des renseignements personnels de nature délicate, si elle pourrait vraisemblablement causer un préjudice ou mettre en cause un grand nombre de personnes. Du côté du secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) exige que les organisations signalent les atteintes aux mesures de sécurité concernant les renseignements personnels qui présentent un risque réel de préjudice grave pour les personnes. Les organisations doivent aviser les personnes touchées de ces atteintes et tenir un registre de tous ces incidents.

L’affaire de l’Agence mondiale antidopage (AMA) est un exemple d’atteinte très médiatisée à la vie privée. À la suite d’une attaque par hameçonnage en 2016, la base de données de l’AMA contenant des renseignements personnels de nature extrêmement délicate sur les athlètes a été compromise par des agents de renseignement militaire russes, qui ont par la suite publié certaines de ces données dans le domaine public, menaçant d’en publier d’autres.

Dans le cadre de notre enquête sur l’AMA, nous avons conclu que les mesures de cybersécurité devraient être proportionnelles à la fois à la sensibilité des renseignements personnels protégés et à l’attrait des renseignements pour les acteurs malveillants. Ce raisonnement s’applique également à la cybersécurité dans le secteur financier. La Cour suprême du Canada a statué que les renseignements financiers sont effectivement de nature délicate. D’autres atteintes importantes dont les gens se rappellent concernent Equifax, Ashley Madison et le système de paie Phénix.

La déclaration des atteintes à la vie privée dans le secteur privé est obligatoire depuis le 1er novembre 2018. Depuis, nous avons constaté une augmentation de près de quatre fois le nombre de signalements d’atteintes provenant du secteur privé. Nous pouvons compter maintenant sur un historique de plus de six mois de déclarations des atteintes à la sécurité des données dans le secteur privé et beaucoup plus d’expérience dans le secteur public, ce qui nous a permis d’émettre un certain nombre d’observations. Les institutions ne sont pas toujours au courant des renseignements personnels qu’elles détiennent, de l’endroit où ils sont acheminés et des personnes qui y ont accès. Souvent, dans la course à la protection contre les pirates informatiques, la menace interne est négligée – les atteintes à la vie privée impliquent non seulement la perte de renseignements personnels au profit de forces externes, mais aussi un accès inapproprié par des acteurs internes. Les exigences de déclaration obligatoire des atteintes peuvent être un outil permettant aux institutions de répondre au caractère adéquat – ou à son absence – des plans et des préparatifs en matière de cybersécurité. De plus, les fonctionnaires travaillant pour le Commissariat utilisent ces connaissances pour fournir de l’orientation aux organisations.

Pour le Commissariat et les Canadiens, le défi consiste à suivre le rythme de l’évolution de la technologie. Il est tout aussi difficile de comprendre comment les données personnelles seront utilisées, par qui, et à quelle fin. Même s’il est vrai que les politiques de confidentialité sont rarement lues, nous approchons peut-être d’une époque où la façon dont les données sont utilisées est tout aussi mal comprise. Le Commissariat a examiné les notions de consentement dans ce domaine et a récemment lancé des lignes directrices à l’intention des organisations assujetties à la LPRPDE sur la meilleure façon d’obtenir un consentement valable pour l’utilisation des renseignements personnels.

Comme d’autres l’ont indiqué devant le Comité, nous croyons qu’il est préférable d’aborder ces questions en collaboration. À cette fin, nous collaborons à des enquêtes conjointes avec d’autres bureaux de protection de la vie privée et des données. Nous participons aux ratissages du « Global Privacy Enforcement Network », et nous avons constaté que cela permet l’échange de pratiques exemplaires. Le Commissariat participe également au groupe du réseau des analystes en cybersécurité, présidé par Sécurité publique Canada, avec la participation d’autres ministères fédéraux. Notre Direction des services-conseils au gouvernement fournit également des conseils aux intervenants du gouvernement fédéral dans ce domaine. D’autres solutions comprennent l’éducation et la sensibilisation auprès des entreprises, en particulier les petites et moyennes entreprises, qui ont souvent du mal à s’assurer que leurs renseignements, y compris leurs renseignements personnels, sont adéquatement protégés.

En conclusion, les organismes de réglementation et les défenseurs de la protection de la vie privée ont un rôle à jouer pour veiller à ce que les stratégies, les principes, les plans d’action et les activités de mise en œuvre en matière de cybersécurité favorisent la protection de la vie privée en tant que principe directeur et norme durable.

Nous devons réformer notre législation sur la protection des renseignements personnels afin de l’adapter à notre objectif, qui est d’assurer la protection de la vie privée des Canadiens à mesure que les technologies et l’économie évoluent.

Je serai heureux maintenant de répondre à vos questions.

Date de modification :