Accord de conformité entre le commissaire à la protection de la vie privée du Canada et l’Agence mondiale antidopage
ATTENDU QUE le commissaire à la protection de la vie privée du Canada (le « commissaire ») est responsable de l’administration et de l’application de la Partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5, (la « Loi »), qui régit la collecte, l’utilisation et la communication de renseignements personnels par l’Agence mondiale antidopage (« AMA ») dans le cadre de ses activités interprovinciales ou internationales;
ATTENDU QUE l’AMA est une fondation de droit privé suisse ayant son bureau principal à Montréal, au Québec, chargée de superviser et de surveiller la conformité au Code mondial antidopage;
ATTENDU QUE l’AMA, dans le cadre de son mandat, supervise le Système d’administration et de gestion antidopage (ADAMS – Anti Doping Administration and Management System), qui sert de centre d’informations sur les activités antidopage et qui contient des renseignements personnels de nature délicate sur les athlètes;
ATTENDU QUE le 13 septembre 2016, le Commissariat à la protection de la vie privée du Canada a été mis au fait qu’ADAMS avait été compromis et que les renseignements personnels de certains athlètes avaient été extraits et publiés sur le Web;
ATTENDU QUE le 9 décembre 2016, le commissaire a déposé une plainte contre l’AMA en vertu du paragraphe 11(2) de la Loi, ayant des motifs raisonnables de croire que la question devrait faire l’objet d’une enquête;
ATTENDU QUE le commissaire, à la suite de sa propre enquête, a déterminé que l’AMA avait enfreint la Partie 1 de la Loi en n’adoptant pas des mesures de sécurité appropriées à la nature délicate des renseignements contenus dans ADAMS et en ne mettant pas en place des politiques, des procédures et des formations adéquates à l’intention du personnel, des entrepreneurs et des intervenants en ce qui concerne la gestion de la sécurité;
ATTENDU QUE le commissaire a transmis ses conclusions à l’AMA (le « Rapport de conclusions ») et qu’il a émis plusieurs recommandations à l’intention de l’organisation pour veiller à ce qu’elle se conforme à la Loi;
ATTENDU QUE l’AMA a examiné le Rapport de conclusions du commissaire et qu’elle entend pleinement mettre en œuvre les recommandations du commissaire en vue d’assurer sa conformité à la Loi;
ATTENDU QUE les Parties conviennent que, même si la signature du présent accord est volontaire, celui-ci lie les Parties aux obligations qu’il contient, et le manquement à ces dernières peut déclencher l’application de l’article 17.2 de la Loi;
EN CONSÉQUENCE, conformément aux articles 17.1 et 17.2 de la Loi, le commissaire et l’AMA conviennent de ce qui suit :
I. Interprétation
- Les définitions suivantes s’appliquent au présent accord :
- « ADAMS » s’entend du système d’administration et de gestion antidopage;
- « Accord » s’entend du présent accord de conformité conclu entre l’AMA et le commissaire, conformément à l’article 17.1 de la Loi;
- « AMA » s’entend de l’Agence mondiale antidopage;
- « Commissaire » s’entend du commissaire à la protection de la vie privée du Canada nommée en vertu du paragraphe 53(1) de la Loi sur la protection des renseignements personnels, L.R.C. (1985), ch. P 2, et de ses représentants autorisés;
- « Loi » s’entend de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5;
- « Parties » s’entend du commissaire et de l’AMA;
- « Rapport de conclusions » s’entend du rapport transmis par le commissaire à l’AMA, conformément à l’article 13 de la Loi à l’égard de la plainte déposée par le commissaire le 9 décembre 2016.
II. Mesures correctives
- En vue de mettre en œuvre les recommandations émises par le commissaire dans le Rapport de conclusions, l’AMA est tenue de ce qui suit :
- Élaborer un cadre de sécurité de l’information, qui intègre des politiques et des procédures écrites afin de garantir que les risques possibles ont été traités. Au minimum, le cadre comprend les éléments suivants :
- l’identification, l’analyse et la documentation des risques internes et externes qui peuvent avoir une incidence sur les renseignements personnels dans tous les systèmes (y compris le système mobile) et les processus qui pourraient occasionner des divulgations non autorisées, une mauvaise utilisation, une perte, une modification, une destruction, ou une autre compromission de ces renseignements, et l’évaluation du caractère adéquat des mesures de sécurité mises en place pour contrôler ces risques, dans les six mois de la date du Rapport de conclusions;
- la conception et la mise en place de mesures de sécurité raisonnables pour contrôler les risques relevés au moyen d’une évaluation des risques et d’essais réguliers, dans les neuf mois de la date du Rapport de conclusions;
- l’évaluation et l’ajustement du programme de sécurité de l’information à la lumière des essais et de la surveillance mentionnés plus haut, dans les douze mois de la date du Rapport de conclusions;
- l’élaboration d’un programme de formation destiné aux employés, aux entrepreneurs et aux intervenants portant sur les politiques et les procédures en matière de gestion de la sécurité de l’information mentionnées plus haut, dans les douze mois de la date du Rapport de conclusions;
- les Parties reconnaissent que l’AMA a eu recours à des fournisseurs de services tiers pour l’aider à se conformer aux recommandations susmentionnées. Si les recommandations et les mesures de sécurité proposées par le fournisseur tiers ne peuvent pas être mises en œuvre dans les délais prescrits ci-dessus, l’AMA peut demander sans tarder une prolongation de ces délais. Après avoir évalué la demande de prolongation, le commissaire peut accorder une prolongation s’il est convaincu qu’il est justifié de le faire dans les circonstances.
- Mettre en œuvre les mesures de sécurité suivantes liées aux contrôles d’accès :
- établir des modifications obligatoires de mot de passe pour les nouveaux comptes et des périodes d’expiration pour les mots de passe temporaires, au plus tard le 31 mars 2018. L’AMA comprend et confirme qu’aucun nouveau compte d’observateur indépendant ADAMS ne sera créé avant l’application de ce changement. L’AMA avisera également les organisations antidopage qu’elles doivent procéder à un changement de mot de passe obligatoire lorsqu’elle crée un nouveau compte ADAMS, au plus tard le 8 février 2018;
- mettre en œuvre un système d’authentification à deux facteurs, sous une forme acceptable pour le commissaire, pour tous les utilisateurs autres que les athlètes, dans les six mois de la date du Rapport de conclusions;
- fournir à tous les athlètes l’option d’utiliser un système d’authentification à deux facteurs, sous une forme acceptable pour le commissaire, dans les six mois de la date du Rapport de conclusions, et leur recommander activement, et ce, de façon continue, d’utiliser ce système d’authentification en leur fournissant des informations claires sur la façon et les raisons d’utiliser cette méthode d’authentification. L’AMA enverra également des rappels aux athlètes leur indiquant d’être vigilants en ce qui concerne la sécurité de leur compte ADAMS, au plus tard le 8 février 2018;
- mettre à jour les ententes contractuelles de l’AMA afin de lui permettre de vérifier et (ou) d’inspecter les organisations antidopages qui ont accès à ADAMS afin de garantir le respect des politiques en matière de sécurité et de protection des renseignements personnels, dans les douze mois de la date de publication du Rapport de conclusions;
- se réserver le contrôle exclusif des comptes d’administrateur fournis à des tiers en supprimant leur capacité de créer d’autres comptes d’administrateur, dans les trois mois de la date du Rapport de conclusions;
- envoyer des avis aux utilisateurs lorsque des mesures importantes sont prises ou lorsqu’une activité inhabituelle est détectée dans leur compte, dans les neuf mois de la date du Rapport de conclusions.
- Chiffrer les données inactives d’ADAMS que l’AMA détient, dans les six mois de la date du Rapport de conclusions;
- S’assurer que la sécurité des applications et la détection des intrusions sont bien configurées et que les systèmes et les registres font l’objet d’une surveillance active et adéquate, dans les six mois de la date du Rapport de conclusions;
- Fournir au CPVP un rapport émanant d’une tierce partie qualifiée et indépendante documentant les mesures que l’AMA a prises pour respecter les recommandations susmentionnées, dans les quinze mois de la date du Rapport de conclusions.
- Élaborer un cadre de sécurité de l’information, qui intègre des politiques et des procédures écrites afin de garantir que les risques possibles ont été traités. Au minimum, le cadre comprend les éléments suivants :
III. Rapport, surveillance et application en matière de conformité
- À sa discrétion et à l’occasion, le commissaire peut demander de l’information et des documents à l’AMA en vue de vérifier sa conformité au présent accord.
- Le commissaire peut également se rendre dans les principaux bureaux de l’AMA en vue de vérifier sa conformité au présent accord, et ce, à tout moment pourvu qu’il donne un préavis à cet effet de dix jours à l’AMA.
- L’AMA comprend que, si le commissaire estime que l’AMA ne respecte pas les dispositions du présent accord, il pourra, après avoir fourni à l’AMA un avis écrit à cet effet, demander à la Cour fédérale d’émettre une ordonnance enjoignant l’AMA de se conformer à l’accord ou de prendre toute autre mesure de réparation prévue par la loi, conformément au paragraphe 17.2(2) de la Loi.
IV. Dispositions générales
- L’AMA assumera les coûts liés à son respect du présent accord.
- Les avis, rapports et autres communications requis ou autorisés au titre de toute disposition du présent accord sont fournis par écrit et réputés avoir été donnés s’ils sont remis en copie papier ou électronique aux adresses suivantes :
- le commissaire
Commissariat à la protection de la vie privée du Canada
30, rue Victoria, 1er étage
Gatineau (Québec) K1A 1H3 - AMA
Agence mondiale antidopage
800, rue du Square Victoria
Bureau 1700
Montréal (Québec) H4Z 1B7
- le commissaire
- Aucune disposition du présent accord n’empêche ou ne restreint le commissaire d’exercer les pouvoirs et les obligations qui lui sont conférés en vertu de la Loi, y compris son devoir de procéder à l’examen de toute plainte en vertu du paragraphe 12(1), son pouvoir de porter plainte en vertu du paragraphe 11(2) ou son pouvoir de procéder à la vérification des pratiques de gestion de renseignements personnels en vertu du paragraphe 18(1) de la Loi.
- Aucune disposition du présent accord ne limite les droits et les recours de toute autre personne prévus à la Partie 1 de la Loi et découlant de la conduite décrite dans cet accord et le Rapport de conclusion ou d’une conduite future.
- L’AMA reconnaît qu’elle a la possibilité d’être représentée par un avocat et d’obtenir des conseils juridiques à l’égard du présent accord.
- Le présent accord entre en vigueur à la signature des deux Parties.
FAIT à Montréal, dans la province de Québec, en ce jour de 2018.
AMA
Par : Olivier Niggli
Directeur général, WADA
J’ai le pouvoir de lier l’AMA.
FAIT à Gatineau, dans la province de Québec, en ce jour de 2018.
Commissaire à la protection de la vie privée du Canada
Par : Daniel Therrien
Commissaire à la protection de la vie privée du Canada
- Date de modification :