Un fournisseur de service en ligne dont les données ont été compromises avait instauré des mesures de sécurité adéquates
Rapport de conclusions en vertu de la LPRPDE no 2014-004
Le 23 avril 2014
Une personne a reçu une lettre d’avis d’un tiers fournisseur de services de billetterie, de commercialisation et de collecte de fonds situé aux États‑Unis (l’organisation) l’informant qu’un pirate informatique aurait pu avoir accès à ses renseignements personnels (y compris son nom, ses coordonnées et son numéro de carte de crédit). Bien que la personne n’ait pas eu de lien direct avec l’organisation, elle a fait un achat auprès d’un commerçant qui a recours aux services de l’organisation.
La lettre faisait partie d’une initiative d’envergure qui visait à informer les intéressés de cette atteinte à la protection des données; ont notamment été avisés (i) des organismes d’application de la loi aux États‑Unis; (ii) les autorités responsables de la protection des données au Canada, dont le Commissariat; (iii) les clients de l’organisation. Puisque l’organisation offrait des services à de petites entreprises canadiennes, et elle a aussi communiqué directement avec celles-ci lorsque c’était la façon la plus rapide de les aviser.
Après avoir reçu la lettre d’avis, la personne a déposé une plainte au Commissariat en application de la Loi sur la protection des renseignements personnels et des documents électroniques (la Loi).
Bien que l’organisation ait de son propre chef avisé le Commissariat de l’atteinte à la protection des renseignements personnels, elle n’a pas reconnu la compétence du Commissariat. L’organisation a affirmé qu’elle n’avait pas le contrôle des renseignements personnels en question. Elle a soutenu que ce sont ses propres clients qui devaient rendre des comptes au titre de la Loi, puisque ce sont eux qui ont recueilli et utilisé les renseignements. Malgré sa position, l’organisation a toute de même collaboré à l’enquête sur la plainte.
Dans le cadre de l’enquête, nous avons mis l’accent sur deux questions : (i) l’organisation était‑elle assujettie à la Loi dans la présente affaire, et – après avoir établi que c’était le cas – (ii) au moment de l’incident, les mesures de protection en vigueur étaient‑elles adéquates compte tenu de la nature délicate des renseignements? Soulignons que le fait qu’il y ait eu atteinte à la protection de renseignements personnels ne veut pas nécessairement dire qu’il y a eu violation de la Loi. Par exemple, une organisation peut avoir instauré des mesures de protection adéquate et tout de même être victime des manœuvres d’un pirate déterminé, astucieux ou novateur.
Le Commissariat souligne que la personne avait expressément mentionné le nom de l’organisation dans sa plainte. Le Commissariat s’est donc contenté, dans son enquête, d’établir si la Loi s’appliquait à l’organisation, et n’a pas cherché à savoir si la Loi s’appliquait aux autres organisations concernées par l’incident.
Concernant le caractère applicable de la Loi, l’organisation a soutenu qu’elle n’était qu’un tiers prestataire de service de transactions, et donc qu’elle n’avait jamais eu le contrôle des renseignements personnels en question. Or, le statut de tiers de l’organisation ne la soustrait pas à l’application de la Loi. La Loi s’applique à toute organisation qui a des renseignements personnels en sa possession ou sous sa garde, si les renseignements ont été recueillis, utilisés ou communiqués dans le cadre d’une activité commerciale qui a un lien réel et substantiel avec le Canada.
Le fait que l’organisation a exercé des activités commerciales n’était pas contesté. Le Commissariat a toutefois conclu que les activités en question avaient un lien réel et substantiel avec le Canada. Bien que l’organisation n’ait pas essayé de vendre ses services directement à des consommateurs canadiens, elle a en fait la promotion auprès d’organisations canadiennes et elle a fait affaire avec certaines d’entre elles. En outre, le modèle d’affaire de l’organisation l’obligeait à conserver les renseignements personnels des clients de ces organisations canadiennes (donc, des renseignements personnels de Canadiens) dont elle était responsable.
Le Commissariat a donc conclu que, dans la présente affaire, la Loi s’appliquait à l’organisation dans le cadre de cette plainte.
Après avoir conclu que la Loi s’appliquait, le Commissariat a cherché à établir si, au moment de l’incident, les mesures de protection de l’organisation étaient adéquates. Dans la présente affaire, le Commissariat a conclu que l’organisation avait mis en place de nombreuses mesures de sécurité informatique visant à empêcher et à détecter les intrusions. L’organisation avait notamment recours (i) à des pare‑feux; (ii) au hachage et au chiffrage des renseignements de nature délicate; (iii) au brouillage des clés de chiffrement, qui étaient en outre stockées séparément; (iv) à de multiples systèmes de détection des intrusions (grâce auxquels l’intrusion a été détectée). L’efficacité de ces mesures de sécurité est évaluée de façon régulière et indépendante au moyen de tests de vulnérabilités externes et d’une vérification des pratiques de protection des données « au repos » au regard des normes de l’industrie.
L’organisation a aussi affirmé qu’elle était déjà dotée d’un programme de gestion de la vulnérabilité au moment de l’incident. Or, il s’agissait d’une vulnérabilité « du jour zéro », ce qui signifie qu’elle n’était pas connue du public avant l’attaque, et l’organisation n’aurait donc pas pu en connaître l’existence.
Compte tenu de ce qui précède, le Commissariat a estimé que l’organisation disposait de mesures de protection adéquates au moment de l’incident. Le Commissariat a donc conclu que la plainte n’était pas fondée.
Bien que le Commissariat soit satisfait des mesures de sécurité que l’organisation avait instaurées avant l’incident, nous avons été heureux de constater que l’organisation, de son propre chef, a mis en œuvre des mesures de sécurité supplémentaires après l’incident. Entre autres choses, l’organisation : (i) a eu recours au salage et au hachage, et a renforcé le chiffrement des renseignements personnels; (ii) a reconfiguré son réseau pour isoler davantage les renseignements de nature délicate. L’organisation a aussi mené des tests de pénétration à grande échelle, mis à jour tous ses protocoles internes et offert de la formation supplémentaire à son personnel. Le Commissariat salue les efforts déployés par l’organisation en réaction à l’incident. Il reconnaît en outre que, le fait pour une organisation d’améliorer ses mesures de protection à la suite d’un incident, ne veut pas nécessairement dire que les mesures qui étaient en place au moment de l’incident n’étaient pas adéquates.
Leçons apprises
- La Loi s’applique à toutes les organisations (même les tiers prestataires de service de transactions) qui exercent des activités commerciales, si ces activités ont un lien réel et substantiel avec le Canada.
- Au titre de la Loi, une organisation est responsable des renseignements personnels en sa possession ou sous sa garde, et ce, même si les renseignements ont été initialement recueillis par une autre organisation.
- Les organisations doivent protéger les renseignements personnels en mettant en place des mesures de protection adaptées à la nature délicate des renseignements. Les organisations qui traitent des renseignements personnels pourraient tirer parti d’un document du Commissariat : Conseils pour limiter et réduire le risque d’atteinte à la vie privée.
- Le fait qu’il y ait eu atteinte à la protection de renseignements personnels ne veut pas nécessairement dire qu’il y a eu violation de la Loi. Même si une organisation n’a pas été capable d’empêcher une atteinte, il se peut que les mesures de protection en place soient adéquates.
- Date de modification :