Après une atteinte importante à la protection des données conservées par Adobe, un client met en doute les mesures de sécurité de l'entreprise et les réponses qu'elle a fournies quant aux répercussions sur ses renseignements personnels
Rapport de conclusions en vertu de la LPRPDE no 2014-015
Le 3 septembre 2014
En 2013, un client régulier d'Adobe en Alberta a appris par l'entremise des médias que l'entreprise avait été victime d'une atteinte à la protection des données. Quand il a communiqué avec Adobe à propos de l'atteinte, un représentant lui a assuré qu'il n'avait pas été touché. Toutefois, il a par la suite découvert que certains de ses renseignements personnels et ceux de son épouse et d'autres clients d'Adobe figuraient dans un fichier comprenant tout le contenu d'une base de données qui était facilement accessible sur un site Web apparemment fréquenté par des cybercriminels, ce qui l'a poussé à douter de ce que le représentant d'Adobe lui avait dit. Le plaignant a alors déposé une plainte au Commissariat à la protection de la vie privée (Commissariat) à propos de la réponse qu'Adobe lui a donnée et de la sécurité des données de l'entreprise.
Au début de notre enquête, Adobe a contesté notre compétence d'enquête parce qu'elle était d'avis que la LPRPDE ne s'appliquait pas à ses clients canadiens touchés par l'atteinte. Adobe a donné diverses raisons pour expliquer sa position, notamment le fait qu'elle avait recueilli et entreposé les renseignements du client en cause aux États-Unis; qu'elle est une entreprise établie aux États-Unis; et que son document sur les conditions d'utilisation et sa politique sur la protection des renseignements personnels indiquent que la loi de la Californie s'applique à ses clients nord-américains.
Après avoir examiné les arguments d'Adobe, le Commissariat a conclu que la LPRPDE s'appliquait à cette plainte puisque l'entreprise recueille, utilise et communique des renseignements personnels dans le cadre d'activités commerciales ayant un lien réel et substantiel avec le Canada.
À propos de l'atteinte, Adobe nous a signalé que celle-ci avait touché les noms d'utilisateurs, les mots de passe encodés, les indices liés aux mots de passe en texte simple, les noms, les adresses, les adresses électroniques, les numéros de carte de paiement encodés et d'autres renseignements et données sur les commandes des clients. Toutefois, Adobe a précisé que le plaignant n'a pas été informé de l'atteinte à la protection de ses données parce que seuls son nom, son adresse, son numéro de téléphone et son « nom d'utilisateur Adobe » ont été compromis par l'atteinte. L'entreprise a expliqué que, comme les données sur la carte de paiement et le mot de passe du plaignant n'ont pas été compromis, ce pourrait être la raison pour laquelle on lui a d'abord dit qu'il n'avait pas été touché par l'atteinte quand il a communiqué avec Adobe. Toutefois, le Commissariat a d'importantes réserves quant à la qualité de la réponse fournie par Adobe, car celle-ci n'était pas transparente et était manifestement inexacte.
En ce qui concerne les mesures de sécurité, notre analyse nous a permis de conclure que celles en place à ce moment-là ne convenaient pas à la sensibilité des renseignements personnels protégés, même si nous avons constaté qu'Adobe avait un plan de sécurité. Dans l'ensemble, Adobe a été très ouverte avec le Commissariat dans les détails qu'elle a fournis sur ses systèmes et activités.
Au bout du compte, le Commissariat a été satisfait des mesures techniques précises prises par Adobe depuis l'incident. Plusieurs mesures supplémentaires ont été prises, notamment l'amélioration du processus de gestion des mots de passe d'utilisateurs et du système d'authentification sur les serveurs, la mise hors service du serveur touché par l'atteinte et la réduction de la période de conservation des données de paiement des clients.
Ainsi, le Commissariat a conclu que la plainte était fondée et résolue.
Leçons apprises
- Des mesures de protection adaptées à la sensibilité des renseignements personnels doivent être en place pour les protéger contre la perte, le vol, l'accès non autorisé, la communication, la copie, l'utilisation ou la modification.
- Les organisations devraient garder à l'esprit les Principales étapes à suivre par les organisations en cas d'atteintes à la vie privée du Commissariat, qui ont été publiées pour encourager des réactions adéquates - et exactes - et des suivis en cas d'atteinte à la protection des renseignements.
RAPPORT DE CONCLUSIONS
Plainte déposée sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi » ou « la LPRPDE »)
- Le plaignant a déclaré que ses renseignements personnels ont été communiqués par Adobe Systems Inc. « Adobe ») lors d'une atteinte à la protection des données qui a eu lieu en octobre 2013 et dont les médias ont parlé (« l'atteinte à la protection des données »). Il a aussi indiqué que, lorsqu'il a appelé Adobe pour savoir s'il avait été touché par l'atteinte à la protection des données, l'entreprise lui a dit qu'il n'avait pas été touché. Cependant, plus tard, il a trouvé sur le site Internet d'un tiers des renseignements personnels sur lui et son épouse qu'il avait fournis à Adobe. Il demande à Adobe de fournir davantage de renseignements aux clients sur les renseignements personnels précis qui ont été volés. Il a aussi déclaré que, pour que l'atteinte à la protection des données ait lieu, il fallait que les mesures de protection de ses renseignements personnels prises par Adobe soient inadéquates.
Résumé de l'enquête
- Le plaignant, un résident de l'Alberta, était un client d'Adobe ayant un compte actif qui avait acheté un certain nombre de ses logiciels et qui est inscrit à son service d'hébergement de dossiers en nuage.
- Il a appris l'atteinte à la protection des données d'Adobe par les médias en 2013, mais il n'en a pas été directement informé par Adobe.
- Quand le plaignant a appelé Adobe personnellement pour confirmer l'état de son compte, on lui a dit qu'il ne faisait pas partie des clients touchés par l'atteinte à la protection des données.
- Ensuite, le plaignant a changé les mots de passe de son compte Adobe et a commencé sa propre enquête. Il a alors découvert que certains de ses renseignements personnels, ceux de son épouse et d'autres clients d'Adobe figuraient dans un fichier comprenant tout le contenu d'une base de données qui était facilement accessible sur un site Web apparemment fréquenté par des cybercriminels.
- Il a porté plainte auprès du Commissariat, et nous avons accepté sa plainte le 8 novembre 2013.
- L'enquête subséquente du Commissariat a été menée en collaboration avec celle de l'Office of the Data Protection Commissioner of Ireland (« ODPCI »). Même si les deux commissariats ont échangé des renseignements et ont collaboré à l'examen et à l'évaluation de cette information, chacun publie son propre rapport.
Compétence
- La première fois que nous avons communiqué avec Adobe concernant l'atteinte à la protection des données, l'entreprise a soutenu que la LPRPDE ne s'appliquait pas aux clients canadiens touchés par l'atteinte à la protection des données. Adobe a soutenu que les consommateurs canadiens achètent des services auprès d'elle, une entreprise établie aux États-Unis. Plus particulièrement, Adobe a signalé qu'il y a une disposition concernant le choix de la loi applicable dans ses conditions d'utilisation et un énoncé dans sa politique sur la protection des renseignements personnels indiquant que la loi de la Californie s'applique aux relations d'Adobe avec les consommateurs de l'Amérique du Nord. Adobe a déclaré que les renseignements du client en cause ont été recueillis et conservés aux États-Unis. L'entreprise a également soutenu qu'elle a envoyé tous les documents de marketing aux clients canadiens et qu'elle était responsable des avis concernant l'atteinte à la protection des données. Pour ces raisons, Adobe a soutenu que ce sont non pas les lois canadiennes, mais bien les lois américaines qui s'appliquent à sa gestion des renseignements personnels des Canadiens.
- Quand nous avons informé Adobe de la plainte, nous lui avons fait savoir que, selon nous et les renseignements dont nous disposons, la LPRPDE s'applique. Nous avons signalé à Adobe qu'il y avait plusieurs facteurs soutenant la position que les activités d'Adobe en cause dans la plainte avaient un lien réel et substantiel avec le Canada (facteurs énoncés au paragraphe 24 du rapport). Adobe a indiqué qu'elle n'était pas d'accord avec cette position, mais s'est quand même engagée à collaborer à l'enquête du Commissariat.
Détails concernant l'atteinte à la protection des données
- Dans ses observations à l'intention du Commissariat, Adobe a décrit une intrusion complexe et de longue durée de pirates dans ses systèmes informatiques qui a entraîné l'atteinte à la protection des données de ses clients.
- Les pirates ont pu accéder à des renseignements personnels des clients d'Adobe, y compris les types de renseignements suivants : les noms d'utilisateurs, les mots de passe encodés, les indices liés aux mots de passe en texte simple, les noms, les adresses, les adresses électroniques, les numéros de carte de paiement encodés et d'autres renseignements et données sur les commandes des clients.
- Adobe a divulgué publiquement l'atteinte et a fourni des détails aux clients. Interrogée par le Commissariat, Adobe a estimé que plus d'un million de clients canadiens ont été touchés, même si les pirates n'ont pas eu accès à tous les types de renseignements personnels mentionnés ci-dessus pour tous ces clients. Adobe a confirmé au Commissariat qu'elle a envoyé des courriels ou des lettres d'avis sur l'atteinte aux utilisateurs de comptes canadiens dont les numéros de carte de paiement et les mots de passe ont été compromis.
- En ce qui concerne les renseignements personnels du plaignant, Adobe a mentionné que, même si les tableaux de la base de données sur les clients auxquels les pirates ont eu accès contenaient le nom, l'adresse, le numéro de téléphone et le nom d'utilisateur Adobe du plaignant (son nom d'utilisateur était aussi son adresse électronique), ceux-ci ne contenaient pas le mot de passe, les données sur la carte de paiement ni d'autres renseignements concernant le plaignant qu'Adobe considère comme étant sensibles. Adobe a affirmé que c'est pour cette raison qu'elle n'a pas informé le plaignant de l'accès à ses renseignements personnels pendant l'atteinte à la protection des données.
- Nous n'avons aucune raison de croire que les pirates ont eu accès à d'autres renseignements personnels du plaignant qu'à son nom, son adresse électronique, son adresse et son numéro de téléphone.
- En ce qui concerne l'allégation du plaignant selon laquelle Adobe ne l'a pas informé du fait que ses renseignements personnels avaient été compromis quand il a appelé, Adobe a dit avoir reçu un grand nombre d'appels concernant l'atteinte, surtout de clients craignant que leurs mots de passe et les données sur leur carte de paiement aient été compromis. Le représentant au service à la clientèle d'Adobe a peut-être présumé que le plaignant voulait savoir si ce type de renseignements avaient été compromis. Comme ce n'était pas le cas, du moins pas pour les données du plaignant, il lui a dit qu'il n'avait pas été touché.
Mesures de protection
- Concernant l'allégation du plaignant selon laquelle les mesures de protection étaient inadéquates, le Commissariat et l'ODPCI ont cerné un certain nombre de préoccupations liées à la conception et à la gestion des systèmes informatiques d'Adobe. Plus particulièrement, nous étions préoccupés par les éléments suivants : gestion de mots de passe, logiciels désuets, systèmes redondants contenant des renseignements personnels, enregistrement non sécuritaire et inadéquat, conservation des données plus longtemps que nécessaire et absence de séparation entre les systèmes informatiques d'entreprise et le réseau d'ingénierie.
- Pour donner un exemple précis des éléments qui nous préoccupaient, nous avons constaté que la gestion des mots de passe était très affaiblie par l'utilisation d'un format encodé obsolète et le fait que les indices associés aux mots de passe étaient en texte normal. Comme les indices en texte normal contenaient parfois le mot de passe lui-même (ou un indice très évident) et comme le format encodé utilisé par Adobe cryptait des mots de passe identiques de la même façon, il aurait été relativement facile d'obtenir l'accès à plusieurs comptes différents en utilisant le même mot de passe en commençant avec l'indice/le mot de passe obtenu pour un compte.
- Adobe a soutenu qu'elle prenait des mesures de protection raisonnables et appropriées, y compris un solide programme de protection des données incluant des mesures de protection administratives, physiques et techniques. Adobe a aussi fait valoir que certaines des préoccupations cernées par le Commissariat n'étaient pas liées à l'accès non autorisé à l'origine de l'atteinte à la protection des données.
- Adobe a été très communicative avec le Commissariat quand elle a décrit plus en détail ses activités et systèmes technologiques, dont certains ont été hérités de l'absorption d'autres entreprises. Certains aspects des activités et systèmes hérités semblent avoir contribué aux problèmes liés aux mesures de protection.
- Le Commissariat a procédé à une analyse technique de la réaction immédiate d'Adobe à l'atteinte. Nous avons aussi évalué les mesures correctives qu'Adobe a prises par rapport à ses systèmes et activités — c.-à-d. les mesures adoptées pour prévenir de nouvelles atteintes.
Application de la Loi
- Pour tirer nos conclusions, nous avons appliqué les principes 4.7 et 4.7.1 de l'annexe 1 de la LPRPDE.
- Le principe 4.7 prévoit que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
- Le principe 4.7.1 stipule que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisée. Les organisations doivent protéger les renseignements personnels, quelle que soit la forme sous laquelle ils sont conservés.
Constatations
Compétence
- Malgré l'objection d'Adobe, nous estimons que la LPRPDE s'applique à la plainte. Le critère établi pour déterminer si la LPRPDE s'applique à une organisation établie à l'extérieur du Canada consiste à déterminer si l'organisation recueille, utilise ou communique des renseignements personnels dans le cadre d'activités commerciales ayant un lien réel et substantiel avec le Canada : voir Lawson c. Accusearch Inc., 2007 CF 125. Il y a un certain nombre de facteurs qui, dans ce cas, témoignent d'un lien réel et substantiel avec le Canada. En particulier :
- Les renseignements personnels du plaignant ont été obtenus à partir du Canada par Adobe.
- Adobe annonce ses produits et services auprès des Canadiens.
- Adobe a un site Web canadien ciblant activement les Canadiens, auquel ceux-ci peuvent avoir accès et à partir duquel ils peuvent acheter les produits et services d'Adobe.
- Adobe, sous le nom d'Adobe Systems Canada Inc., a une présence physique au Canada, avec un bureau et des employés au Canada.
- Adobe a besoin des renseignements personnels des Canadiens pour pouvoir leur offrir ses produits et services par l'entremise de son site Web et d'autres moyens.
- Dans ce cas-ci, les autres facteurs pertinents mentionnés ci-dessus l'emportent sur le fait qu'Adobe est une entreprise ayant pignon sur rue aux États-Unis et que les renseignements personnels du plaignant étaient conservés aux États-Unis.
- Adobe soutient qu'elle est responsable du marketing auprès des Canadiens et qu'elle a informé les Canadiens touchés par l'atteinte à la protection des données; à notre avis, ce sont des facteurs qui tendent à confirmer l'existence d'un lien réel et substantiel avec le Canada plutôt qu'à l'infirmer. Ils montrent qu'Adobe joue un rôle actif sur le marché canadien et que ses produits et services ciblent les Canadiens.
- Enfin, nous estimons que l'affirmation d'Adobe voulant que la disposition concernant le choix de la loi applicable dans ses conditions d'utilisation et sa politique sur la protection des renseignements personnels empêche l'application de la LPRPDE aux résidants canadiens, comme le plaignant, est très problématique.
- Premièrement, nous constatons que la disposition concernant le choix de la loi applicable dans les conditions d'utilisation d'Adobe est ambiguë. Même si elle vise à choisir la loi de Californie comme étant la loi applicable, la disposition indique aussi que les clients d'Adobe « pourraient avoir des droits supplémentaires prévus par la loi. Nous n'essayons pas de limiter ces droits dans la mesure interdite par la loi. » [traduction]Note de bas de page 1 Même s'il n'y a pas d'énoncé semblable dans la politique sur la protection des renseignements personnels, les conditions d'utilisation n'excluent pas clairement l'application d'autres lois, y compris les lois canadiennes comme la LPRPDE.
- Deuxièmement, même si la disposition concernant le choix de la loi applicable était interprétée comme excluant clairement la LPRPDE, nous ne croyons pas qu'une telle disposition soit valide. Nous ne sommes pas convaincus, compte tenu de l'état actuel de la loi, qu'Adobe peut se soustraire à ses obligations aux termes de lois obligatoires et quasi constitutionnelles comme la LPRPDE. Selon nous, ce serait contraire à la politique publique que de permettre à une organisation ayant un lien réel et substantiel avec le Canada de se soustraire aux protections de la LPRPDE au moyen d'un contrat. En effet, l'objectif même de la LPRPDE serait miné si une organisation pouvait exiger que des personnes renoncent à leurs droits aux termes de la LPRPDE pour obtenir un produit ou un service.
- Par conséquent, nous ne pouvons pas accepter l'argument d'Adobe selon lequel la disposition relative au choix de la loi applicable énoncée dans ses conditions d'utilisation et sa politique sur la protection des renseignements personnels rend inapplicable la LPRPDE.
Mesures de protection
- La question est de savoir si les mesures de protection d'Adobe présentes au moment de l'atteinte à la protection des données étaient appropriées à la sensibilité de l'information protégée. En plus de l'information sur le nom, l'adresse et le numéro de téléphone d'un client, Adobe conservait aussi les mots de passe, les noms d'utilisateurs et les renseignements financiers des clients, qui peuvent être considérés comme des renseignements sensibles.
- Notre analyse des aspects essentiels des pratiques et des systèmes opérationnels d'Adobe en place au moment où l'atteinte à la protection des données a eu lieu nous a menés à conclure que les mesures de sécurité étaient inappropriées pour protéger les renseignements personnels en cause. Les pratiques acceptables de conception de réseau, de maintenance des logiciels du serveur, de gestion des mots de passe et de conservation et destruction des données n'ont pas été suivies.
- Même si Adobe avait un programme de sécurité en place au moment de l'atteinte à la protection des données, le fait est que certaines parties de ses protections étaient déficientes. En outre, toutes les préoccupations que nous avons cernées étaient liées à la protection des renseignements personnels en cause dans la présente plainte, ce qui fait que, selon nous, elles relevaient bel et bien de la portée de notre enquête.
- Par conséquent, nous concluons, en contravention du principe 4.7, que les mesures de sécurité utilisées par Adobe n'étaient pas adaptées à la sensibilité des renseignements.
- En outre, nous estimons qu'en contravention du principe 4.7.1, les mesures de protection d'Adobe ne protégeaient pas suffisamment les renseignements personnels du plaignant et ceux des autres Canadiens contre un accès non autorisé.
- Cela dit, nous sommes satisfaits des mesures qu'Adobe a prises depuis l'incident, et après les échanges avec le Commissariat et l'ODPCI, pour régler les problèmes liés aux mesures de protection dans le but de prévenir d'autres incidents. Nombre de ces mesures sont de nature sensible d'un point de vue commercial et ne peuvent donc pas être mentionnées dans le présent rapport. Mais nous pouvons noter que ces mesures incluent les améliorations qu'Adobe a apportées à son processus de gestion des mots de passe d'utilisateurs et à son système d'authentification sur les serveurs, de même que la mise hors service du serveur touché par l'atteinte à la protection des données et la réduction de la période de conservation des données de paiement des clients.
Conclusion
- En conséquence, nous concluons que la plainte concernant les mesures de protection est fondée et résolue.
Autre
- Nous sommes préoccupés par le fait que, quand le plaignant a communiqué directement avec Adobe pour savoir si ses renseignements personnels avaient été compromis, on lui a dit à tort que ses renseignements étaient en sécurité. Selon nous, Adobe aurait dû fournir l'information exacte au plaignant concernant ses renseignements personnels qui avaient été exposés en raison de l'atteinte à la protection des données.
- La capacité à répondre de façon exacte et transparente aux demandes de renseignements des clients sur leurs renseignements personnels à la suite d'une atteinte témoigne du leadership d'une organisation et du sérieux avec lequel elle traite l'incident. Cela va dans le sens du principe 4.9, qui exige, quand une demande officielle est présentée, que les organisations informent une personne de la communication de ses renseignements personnels. Selon nous, répondre de la sorte aiderait beaucoup une organisation à regagner la confiance des clients après une atteinte à la protection des données.
Notes
- Date de modification :