Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) concernant les atteintes à la vie privée à l’Agence du revenu du Canada

Le 5 décembre 2024

Ottawa (Ontario)

Déclaration de Philippe Dufresne
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi.)

---

Bonjour Monsieur le président et mesdames et messieurs les membres du Comité.

Je vous remercie de m’avoir invité à parler de ce sujet d’une importance cruciale.

Au cours de la dernière décennie, on a constaté une forte augmentation des atteintes à la sécurité des données, tant sur le plan de l’ampleur que de la complexité et de la gravité. Comme elles détiennent des renseignements personnels sensibles, les institutions gouvernementales sont des cibles de choix.

Pour assurer la protection des renseignements personnels, les organisations fédérales, y compris mon organisation – le Commissariat à la protection de la vie privée du Canada – doivent continuellement s’adapter à un contexte de menaces en constante évolution.

En février 2024, nous avons déposé un Rapport spécial au Parlement qui présentait les conclusions de notre enquête sur un incident de bourrage d’identifiants en 2020 visant l’Agence du revenu du Canada (ARC) ainsi qu’Emploi et Développement social Canada (EDSC).

Au cours des dernières étapes de notre enquête, nous avons appris que, depuis 2020, d’autres atteintes liées à la Prestation canadienne d’urgence (PCU) étaient survenues à l’ARC, et que celles-ci n’avaient pas été signalées au Commissariat et avaient touché jusqu’à 15 000 personnes. Nous avons mentionné ces atteintes dans notre rapport spécial et indiqué que nous ferions un suivi auprès de l’ARC à cet égard.

Au terme de notre enquête, nous avons recommandé l’amélioration des cadres de communication et de prise de décisions pour favoriser une réaction rapide aux attaques et l’élaboration de processus complets d’intervention en cas d’incidents afin de prévenir, de détecter, de contenir et d’atténuer les atteintes à l’avenir. L’ARC et EDSC ont tous les deux accepté de mettre en œuvre ces recommandations.

Le 9 mai 2024, le Commissariat a reçu un rapport d’atteintes de l’ARC qui portait sur 31 393 incidents distincts survenus entre mai 2020 et novembre 2023.

Depuis, l’équipe d’intervention en cas d’atteintes du Commissariat a rencontré périodiquement l’ARC afin d’en savoir plus sur la façon dont celle-ci traite la situation et d’être tenue au courant des mesures prises par l’ARC pour régler les atteintes, informer la population canadienne et atténuer les risques. Les discussions ont porté sur le rapport d’atteintes, mais aussi sur le rapport de conclusions d’enquête de février 2024, puisque les deux sont liés. En effet, l’ARC a confirmé que, sur les 31 393 incidents signalés, environ 15 000 d’entre eux concernaient des cas de fraudes liées à la PCU mentionnés dans notre rapport spécial au Parlement.

Dans le cadre de ces discussions, le 25 octobre 2024, l’ARC a avisé le Commissariat qu’elle avait évalué rétrospectivement environ 3 200 autres atteintes importantes survenues en 2023 et 2024.

Cet automne, l’ARC a demandé au Conseil du Trésor – et finalement obtenu de celui-ci – une exception lui permettant de signaler au Secrétariat du Conseil du Trésor (SCT) et au Commissariat à la protection de la vie privée du Canada les cas individuels d’utilisation non autorisée de renseignements de contribuables par une tierce partie sur une base trimestrielle au lieu d’une période de sept jours, pour des raisons opérationnelles.

J’ai indiqué au SCT que, bien que je sois en faveur de cette exception, je recommanderais que ce soit pour une période limitée de 12 mois, que l’ARC soit tenue d’aviser promptement les personnes touchées et de leur fournir sans attendre de l’information, du soutien et des conseils, et que les rapports d’atteinte contiennent de l’information supplémentaire pour préciser comment et quand les personnes touchées ont été avisées et quelles mesures supplémentaires ont été prises par l’ARC pour améliorer les mesures de protection des renseignements personnels.

Le 29 octobre 2024, après la réception d’une plainte, j’ai lancé une enquête officielle. L’enquête visera à déterminer si l’ARC a respecté ses obligations au titre de la Loi sur la protection des renseignements personnels et si elle a utilisé les mesures de protection et les processus d’intervention adéquats.

Les atteintes à la vie privée qui sont survenues à l’ARC, tant lors de l’incident de bourrage d’identifiants que celles récemment signalées, mettent en évidence le risque auquel sont exposés les renseignements personnels et l’importance de s’attaquer à toutes les formes d’atteintes, y compris aux cyberincidents, et d’en atténuer les effets.

Le Commissariat collabore régulièrement avec les institutions fédérales. Il donne des conseils, aide à évaluer les répercussions sur la vie privée de nouveaux programmes ou de nouvelles technologies, assure un suivi après une atteinte, règle les situations ayant fait l’objet de plaintes relatives à la protection de la vie privée et mène des enquêtes. Chaque activité de mobilisation ou de conformité joue un rôle important pour soutenir et faire progresser la protection de la vie privée à l’échelle du gouvernement du Canada, un défi de plus en plus complexe et primordial à l’ère numérique.

Le Commissariat fournit des conseils et des orientations aux organisations pour les aider à composer avec les risques en cas d’atteintes, à atténuer ces risques, ainsi qu’à prévenir, à contenir et à signaler les atteintes. Il sensibilise aussi les organisations à l’importance d’informer les personnes touchées.

Globalement, les atteintes à la sécurité des données sont l’une des principales menaces qui pèsent sur les renseignements personnels. Durant l’exercice 2023-2024, qui s’est terminé le 31 mars 2024, le Commissariat a reçu plus de 350 rapports de cyberincidents, et la vaste majorité (plus de 90 %) provenait d’organisations du secteur privé.

Cette année, j’ai lancé des enquêtes sur d’autres atteintes majeures à la vie privée, notamment celle qu’a connue Ticketmaster Canada et qui a touché plus d’un demi-million de Canadiennes et de Canadiens, ainsi qu’une enquête internationale conjointe avec mon homologue, le commissaire à l’information du Royaume-Uni, portant sur l’atteinte à la sécurité des données à la société 23andMe, qui traite des données génétiques sensibles.

Nous savons que même les organisations qui ont mis en place des mesures de protection peuvent être touchées par une atteinte. C’est pourquoi une réaction efficace à une atteinte est également essentielle pour réduire les conséquences sur les Canadiens et les Canadiennes et préserver la confiance dans les institutions.

Compte tenu de l’ampleur des risques et des répercussions que peut avoir une atteinte sur les gens, le signalement en temps opportun des atteintes doit être une obligation légale prévue dans la Loi sur la protection des renseignements personnels, plutôt qu’une exigence de la politique du SCT, comme c’est le cas actuellement.

En 2023, le Commissariat a demandé et obtenu un financement temporaire supplémentaire dans le cadre du budget de 2023 afin de s’attaquer aux atteintes. Nous avions alors demandé des fonds temporaires pour une période de deux ans, mais je crois qu’un financement permanent est nécessaire, car les atteintes sont une préoccupation constante et croissante et elles posent une grave menace tant pour les particuliers que pour les organisations.

Dans un environnement numérique où les risques sont plus élevés que jamais, il est crucial d’investir dans la protection de la vie privée. Les mesures de protection de la vie privée doivent faire partie intégrante des programmes et des services gouvernementaux.

Nous devons aussi poursuivre nos efforts pour moderniser les lois canadiennes en matière de protection des renseignements personnels, autant celle qui régit le secteur privé que la Loi sur la protection des renseignements personnels, qui a été adoptée avant l’arrivée d’Internet. Nous devons aussi veiller à ce que le Commissariat dispose de ressources suffisantes étant donné l’environnement de données de plus en plus complexe.

Ces questions resteront une priorité pour nous, et j’ai hâte de lire le rapport du Comité sur cet enjeu important. Je vous remercie de votre attention et je serai heureux de répondre à vos questions.