Enquête sur la conformité de CoreFour Inc. à la LPRPDE

Conclusions en vertu de la LPRPDE n^o 2021-002

Le 29 mars 2021

---

Aperçu

Le plaignant a formulé plusieurs allégations au sujet des pratiques de protection de la vie privée de CoreFour Incorporated (CoreFour ou l’intimé) concernant Edsby, le système d’analyse et de gestion de l’apprentissage de la maternelle à la 12^e année de l’intimé retenu par le conseil scolaire de district (le conseil scolaire) des enfants du plaignant. En réponse à cette plainte, le Commissariat a enquêté sur la conformité de CoreFour à ses mesures de sécurité, à ses mesures en réaction en cas d’atteinte à la vie privée et à ses obligations en matière de responsabilité au titre de la LPRPDE.

En ce qui concerne les mesures de sécurité, CoreFour recueille, utilise et communique les renseignements personnels de centaines de milliers d’enfants partout au Canada et à l’étranger. Une grande partie de ces renseignements peuvent être de nature sensible (y compris les notes, les précisions sur les absences et les renseignements sur l’état de santé). C’est donc dire que la mise en œuvre de mesures de sécurité accrues proportionnelles au volume et à la sensibilité de ces renseignements s’impose.

Nous avons constaté que l’intimé avait mis en œuvre de nombreuses pratiques de sécurité efficaces. Toutefois, nous avons également confirmé l’existence de deux vulnérabilités de sécurité précises relevées par le plaignant : i) de faibles exigences en matière de mot de passe pour certains comptes parentaux d’Edsby; et ii) des mesures de sécurité inadéquates pour empêcher l’accès non autorisé aux vignettes des photos de profil des élèves. Bien que l’intimé ait réglé ces vulnérabilités l’an dernier, nous avons remarqué une vulnérabilité supplémentaire concernant l’incapacité d’Edsby à détecter les maliciels lors du téléchargement de contenu à partir d’applications tierces. CoreFour a également répondu à cette préoccupation.

En fin de compte, nous avons établi que l’intimé ne disposait pas d’un cadre solide et global de sécurité de l’information. À notre avis, si l’intimé avait établi et mis en œuvre un tel cadre, celui-ci aurait pu atténuer et potentiellement éviter les vulnérabilités relevées. Les mesures de sécurité de CoreFour à cet égard étaient inadéquates.

Le plaignant a en outre soutenu que l’intimé ne disposait pas d’un mécanisme adéquat pour traiter et déclarer les atteintes à la vie privée, et qu’il avait omis d’aviser les parents et le Commissariat des vulnérabilités que ce dernier avait relevées. Nous avons conclu que l’intimé se conformait à ses obligations liées aux atteintes à la vie privée :

1. Dans le cas de la vulnérabilité liée à la gestion des mots de passe, il n’y avait pas eu d’atteinte réelle et, de toute façon, la déclaration des atteintes par le secteur privé n’était pas encore obligatoire lorsque l’intimé a été mis au courant de cette vulnérabilité.
2. Lorsque le plaignant a informé l’intimé de la vulnérabilité liée aux photos des élèves, la déclaration et la notification obligatoires en cas d’atteinte étaient entrées en vigueur au titre de la LPRPDE. Notre enquête a toutefois révélé que la seule atteinte associée à cette vulnérabilité découlait des gestes du plaignant lui-même, atteinte qui n’a pas entraîné un risque réel de préjudice grave. Par conséquent, à notre avis, l’intimé n’était pas tenu de déclarer l’atteinte à la vie privée au Commissariat ni d’aviser les parents touchés. Nous constatons que, de toute façon, l’intimé a collaboré avec le conseil scolaire pour appuyer ce dernier au moment d’aviser les parents des élèves touchés.
3. L’intimé avait des procédures appropriées de déclaration des atteintes et tenait un registre des atteintes, comme l’exige la LPRPDE.

En ce qui concerne la responsabilisation, nous avons constaté que l’intimé ne disposait pas de cadre de gestion de la protection de la vie privée. Il n’y avait pas de politiques, ni de pratiques internes écrites et appropriées pour assurer l’application des principes de la LPRPDE, notamment en ce qui concerne le traitement des plaintes ainsi que la conservation et la destruction des données, même si certains de ces documents étaient en cours d’élaboration au moment de notre enquête. L’intimé n’a pas non plus donné une formation adéquate sur la protection des renseignements personnels à ses employés, à ses experts-conseils, à ses entrepreneurs et à ses élèves. Enfin, nous avons constaté que la politique de confidentialité de l’intimé sur son site Web n’était pas claire à certains égards et pourrait être améliorée. Nous avons donc constaté que CoreFour ne satisfaisait pas à ses exigences en matière de responsabilité selon le principe 4.1.4 de la Loi.

Compte tenu de ce qui précède, nous avons recommandé que l’intimé apporte certaines améliorations aux mesures de sécurité, plus précisément : i) achever et mettre en œuvre un cadre de gestion de la sécurité de l’information; ii) s’assurer qu’il dispose de suffisamment de ressources humaines supplémentaires en sécurité informatique et établir une séparation appropriée des responsabilités en matière de sécurité; iii) la détection de logiciels malveillants lors de l’importation de contenu dans Edsby à partir d’autres applications logicielles; et iv) former son personnel sur les politiques, les procédures et les mesures susmentionnées.

Nous avons également recommandé que l’intimé établisse un cadre de gestion de la protection de la vie privée conforme à ses obligations en matière de responsabilité au titre de la LPRPDE, notamment : i) l’élaboration de procédures de traitement des plaintes ainsi que de conservation et de destruction des données; et ii) l’élaboration et l’adoption d’un programme de formation sur la protection des renseignements personnels. Enfin, nous avons recommandé que CoreFour clarifie certains aspects de sa politique de confidentialité.

De plus, nous avons demandé à CoreFour de fournir au Commissariat un rapport d’un tiers indépendant qualifié, lequel documente et confirme les mesures qu’il a prises pour mettre en œuvre les recommandations ci-dessus.

CoreFour a collaboré avec le Commissariat tout au long de l’enquête. En réponse à nos recommandations, l’entreprise a confirmé qu’elle avait ajouté une fonction de détection des maliciels dans l’application Edsby en 2020. L’entreprise cherchait également à obtenir la certification ISO 27001^{Note de bas de page 1} qui, selon elle, répondrait à nos dernières préoccupations. CoreFour s’est donc engagée à mettre en œuvre nos recommandations dans les délais convenus, y compris à fournir le rapport d’un tiers exigé par le Commissariat.

En conséquence, nous considérons que les questions liées aux mesures de sécurité et à la responsabilité sont fondées et conditionnellement résolues. En contrepartie, nous avons constaté que la question de la déclaration et de la notification d’atteinte à la vie privée n’est pas fondée.

Nous constatons que le plaignant a formulé d’autres allégations concernant le non-respect par l’organisation de ses obligations en matière de consentement et de transparence au titre de la LPRPDE. Nous avons jugé que ces questions ne relevaient pas de la portée de notre enquête. Pour déterminer la portée de notre enquête, nous avons tenu compte du fait que le plaignant avait également déposé une plainte distincte auprès du commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP), dans laquelle il soutenait que le conseil scolaire n’a pas respecté ses obligations en matière de consentement et de transparence au titre de la Loi sur l’accès à l’information municipale et la protection de la vie privée de l’Ontario (LAIMPVP)^{Note de bas de page 2}, et du fait que le CIPVP enquêtait sur ces questions. Nous avons communiqué de l’information au CIPVP tout au long de notre enquête afin d’éclairer son enquête sur ces questions supplémentaires. Malheureusement, le CIPVP n’a pas été en mesure d’échanger des renseignements avec le Commissariat en raison des limites de la LAIMPVP.

Contexte

La plainte

1. Le plaignant a formulé plusieurs allégations au sujet des pratiques de protection de la vie privée de CoreFour Incorporated (CoreFour ou l’intimé) au sujet de son application logicielle appelée Edsby : un système de gestion de l’apprentissage et d’analyse de la maternelle à la 12^e année (voir le paragraphe 19 pour plus de détails). Plus précisément, le plaignant prétendait que :
   
   Mesures de sécurité
   1. Les vulnérabilités en matière de sécurité de l’information au sein d’Edsby découvertes par le plaignant ont potentiellement exposé à un accès non autorisé les renseignements personnels des élèves qui fréquentaient un conseil scolaire de l’Ontario et ceux de leurs parents. Plus précisément :
      1. Les comptes parentaux gérés par Edsby n’étaient pas suffisamment protégés en raison des mauvaises pratiques de gestion des mots de passe de l’intimé (la vulnérabilité liée aux mots de passe);
      2. Les vignettes des photos de profil des élèves étaient mal protégées en raison de l’utilisation par l’intimé de numéros de fichier séquentiels dans Edsby (la vulnérabilité liée aux photos de profil).
   2. De plus, l’intimé ne disposait pas d’un cadre, de ressources, de politiques et de normes adéquats en matière de sécurité de l’information pour protéger les renseignements personnels de nature sensible détenus sur Edsby.
   Déclaration et notification d’atteinte à la vie privée
   3. Le plaignant a affirmé que l’intimé ne disposait pas d’un mécanisme adéquat pour traiter et déclarer les atteintes à la vie privée et n’a pas avisé les parents, ni le Commissariat, des vulnérabilités susmentionnées.
   Responsabilité
   4. Selon le plaignant, l’intimé n’avait pas de politiques ni de procédures adéquates en matière de protection des renseignements personnels pour se conformer à ses obligations en matière de responsabilité au titre de la LPRPDE.
   5. La « Politique de confidentialité pour Edsby » (la politique de confidentialité) de l’intimé définissait mal les renseignements personnels, précisait que l’intimé n’acceptait pas la responsabilité de la sécurité des renseignements personnels dont il avait la garde et n’était pas claire en ce qui a trait à la communication par l’intimé de renseignements sur les utilisateurs avec des tiers.
   Consentement
   6. L’intimé n’a pas obtenu le consentement direct des parents et des tuteurs pour recueillir, utiliser, communiquer et stocker les renseignements personnels de leurs enfants dans l’application.
   7. Lorsqu’il a demandé, par l’entremise du conseil scolaire, que l’intimé retire les renseignements sur ses enfants d’Edsby, le plaignant prétend que l’intimé a d’abord omis de le faire. Les renseignements ont été supprimés temporairement, jusqu’à ce que le conseil scolaire l’informe que les renseignements sur ses enfants ne seraient plus exclus d’Edsby, contrairement à ce qu’il souhaitait.
   Transparence
   8. L’intimé a envoyé un avis aux parents au nom du conseil scolaire : i) confirmant que les dossiers scolaires de leurs enfants étaient maintenant liés à Edsby; et ii) les invitant à créer des comptes parentaux dans Edsby. Le plaignant était préoccupé par le contenu de l’avis, qui lui semblait porter à confusion. Il était préoccupé par le fait que l’avis comportait des liens vers des pages contenant des renseignements supplémentaires sans explication appropriée, et par le manque de transparence concernant la teneur de l’entente et la façon dont les renseignements personnels des élèves et des parents seraient traités.
2. Dans sa plainte et ses communications subséquentes avec le Commissariat, le plaignant a expliqué qu’il avait communiqué avec l’intimé, par l’entremise des bureaux du conseil scolaire, en novembre 2017 et en janvier 2019. Il a informé le conseil scolaire et l’intimé des vulnérabilités en matière de sécurité qu’il avait trouvées dans Edsby à la suite de ses propres recherches. Il a soutenu que la réponse de l’intimé, le fait qu’il se fie aux « pratiques exemplaires » en matière de sécurité et son manque apparent de conformité à une norme de sécurité de l’industrie, laissaient entendre que les politiques, les procédures, les normes et les ressources de sécurité de l’information et de protection des renseignements personnels étaient inadéquates pour protéger l’information recueillie, utilisée et stockée dans Edsby.
3. Le plaignant a également affirmé qu’Edsby semblait être un outil d’agrégation et de suivi des données donnant un accès direct au système de renseignements sur les élèves du conseil scolaire et à d’autres sources de données, plutôt qu’une application d’apprentissage social. D’après son examen de la politique de confidentialité de l’intimé, il était particulièrement préoccupé par la possibilité que celui-ci communique et vende des renseignements sur les élèves à des tiers.
4. Le plaignant a demandé la suspension temporaire d’Edsby par le conseil scolaire, jusqu’à ce que les questions de sécurité de l’information et de protection des renseignements personnels (et d’autres préoccupations) qu’il avait soulevées aient été traitées de façon appropriée par l’intimé.
5. Insatisfait des explications qui lui ont été fournies, il a déposé la plainte en question auprès du Commissariat.

Portée de notre enquête

6. En juin 2018, le plaignant a déposé une plainte distincte contre le conseil scolaire auprès du CIPVP de l’Ontario. Le plaignant a soutenu que le conseil scolaire n’avait pas respecté ses obligations en matière de consentement et de transparence au titre de la LAIMPVP de l’Ontario lorsqu’il a adopté Edsby. Dans sa plainte, le plaignant a également soulevé d’autres questions liées aux mesures de sécurité et à la responsabilité concernant le conseil scolaire.
7. Au cours de notre enquête, nous avons confirmé auprès du CIPVP qu’il enquêtait sur la question de savoir si le conseil scolaire, en utilisant Edsby dans ses écoles, s’était conformé aux obligations pertinentes de la LAIMPVP concernant la collecte de renseignements personnels. L’enquête du CIPVP était en cours au moment de la rédaction du présent rapport.
8. À la lumière de l’enquête du CIPVP, nous avons limité la portée de notre enquête pour déterminer si CoreFour s’est conformé à ses mesures de sécurité, à ses obligations de déclaration obligatoire des atteintes à la vie privée et à ses obligations en matière de responsabilité à cet égard. Nous comprenons que l’enquête du CIPVP examine les allégations du plaignant au sujet des pratiques de consentement et de transparence du conseil scolaire à l’égard d’Edsby, en prenant en compte le mandat d’éducation du conseil scolaire, l’entente de service avec l’intimé et sa relation directe avec les élèves et les parents, y compris avec le plaignant et ses enfants. Nous notons en outre que CoreFour est un fournisseur de services aux écoles et aux conseils scolaires (comme c’est le cas pour le conseil scolaire dans l’enquête du CIPVP), qui a l’obligation légale d’utiliser l’information seulement selon les directives de ces clients. Nous sommes donc d’avis que les allégations concernant le consentement et la transparence seront traitées plus adéquatement dans le cadre de l’enquête du CIPVP.
9. Les deux commissariats ont signé une entente d’échange de renseignements le 19 octobre 2019. Conformément à l’entente, le Commissariat a communiqué les renseignements pertinents découlant de la présente enquête au CIPVP afin d’éclairer son enquête. En raison des limites de la LAIMPVP, le CIPVP n’a pas pu faire de même. C’est malheureux, car le partage bilatéral aurait permis : i) au Commissariat de tirer parti des renseignements recueillis par le CIPVP, ainsi que de ses points de vue et de son analyse à l’égard des questions susmentionnées, et ii) aux deux commissariats de bénéficier d’une collaboration plus ouverte sur cette question, ce qui serait également utile pour la protection du droit à la vie privée des citoyens que nous avons tous deux pour mandat de protéger.

Méthodologie

10. Au cours de l’enquête, l’intimé a présenté plusieurs réponses détaillées aux questions soulevées par le Commissariat. Il a également fourni des copies de documents et de dossiers, y compris ses politiques et procédures internes, ses ententes contractuelles, ses évaluations de la sécurité de l’information, le guide de l’utilisateur d’Edsby et d’autres documents opérationnels et de communication pertinents.
11. Nous avons également examiné l’information accessible au public sur l’intimé et la plateforme Edsby, y compris le contenu du site Web edsby.com, des examens par des tiers et des articles sur l’application, ainsi que des rapports plus généraux sur l’adoption de logiciels dans le domaine de l’éducation.
12. Nous avons examiné l’environnement d’essai d’Edsby (qui « reflète » l’environnement de production)^{Note de bas de page 3} dans le laboratoire de technologie du Commissariat à l’aide des comptes « fictifs » d’élèves, de parents, d’enseignants et d’administrateurs du personnel fournis par l’intimé.
13. De plus, nous avons effectué une visite des locaux de l’intimé, au cours de laquelle nous avons interrogé des membres de la haute direction et du personnel opérationnel qui connaissaient bien les aspects techniques des systèmes, des politiques, des procédures et des pratiques de sécurité et de protection des renseignements personnels de l’entreprise. Nous avons également observé des démonstrations des processus de l’intimé et examiné les systèmes, les alertes de sécurité, les rapports, les registres et d’autres contrôles.

La position de l’intimé

14. L’intimé a contesté les allégations du plaignant. Il a affirmé que le plaignant en était venu à une interprétation défavorable de ses pratiques commerciales à l’égard d’Edsby, de ses politiques en matière de sécurité de l’information et de protection des renseignements personnels et du contenu de sa politique de confidentialité, en se fondant sur des renseignements limités et incomplets.
15. L’intimé a reconnu auprès du Commissariat que les deux vulnérabilités soulevées par le plaignant existaient, mais elles ont été corrigées et les parties touchées par la vulnérabilité liée aux photos de profil ont été informées. L’intimé avait également été ouvert dans ses communications avec ses clients des écoles privées et des conseils scolaires au sujet de la fonctionnalité d’Edsby, de la façon dont il travaillait avec des tiers et de divers problèmes de sécurité et de protection de la vie privée au fur et à mesure qu’ils étaient cernés et résolus.
16. De plus, l’intimé a indiqué qu’il prenait des mesures pour documenter ses pratiques en matière de sécurité de l’information et de protection de la vie privée en vue d’obtenir une certification de normes de sécurité de l’industrie.
17. Enfin, l’intimé a déclaré que ses revenus proviennent exclusivement des frais facturés à ses clients des écoles privées, des conseils scolaires et du ministère de l’éducation. Il n’a pas monétisé des données en partageant ou en vendant des renseignements sur les utilisateurs à des tiers à des fins commerciales ou non commerciales, ou en plaçant toute forme de publicité sur Edsby^{Note de bas de page 4}.

CoreFour et l’application Edsby

18. En septembre 2011, l’intimé, situé dans la région du Grand Toronto, a lancé l’application Edsby. Au moment de notre visite, les clients d’Edsby comprenaient des écoles privées et des conseils scolaires de districts régionaux en Amérique du Nord (Ontario, Alberta et Manitoba au Canada et Floride aux États-Unis). Edsby avait également annoncé son déploiement en Nouvelle-Zélande^{Note de bas de page 5}. L’intimé a depuis lancé Edsby en Saskatchewan^{Note de bas de page 6}.
19. Edsby offre des services d’éducation sur le Web, y compris du soutien pour : i) la gestion du contenu et des outils des cours en classe; ii) l’évaluation, la notation et la production de bulletins; iii) la collaboration de groupe; iv) les horaires et les calendriers des élèves et des enseignants; v) la participation des parents et du personnel; vi) les inscriptions et les flux de travail; vii) les nouvelles de l’école et du district; et viii) l’analyse et les notes^{Note de bas de page 7}.
20. Edsby fonctionne comme une application de logiciel-service (SaaS)^{Note de bas de page 8}, et l’intimé personnalise Edsby selon les spécifications de chaque client.
21. L’application est gérée de façon centralisée, intégrée et synchronisée avec le système de renseignements sur les élèves d’un client, les ressources humaines et d’autres sources de données structurées^{Note de bas de page 9}. L’intégration est « bidirectionnelle ». L’intimé « extrait » les données des systèmes et des dossiers d’un client sur les élèves, les enseignants, le personnel, les parents, les classes et d’autres éléments d’information convenus pour authentifier les utilisateurs et s’assurer qu’Edsby peut fournir les services requis en fonction de renseignements exacts et fiables. L’information entrée directement dans Edsby par les utilisateurs au cours de la journée peut également être « réintégrée » au moyen du processus de synchronisation pour mettre à jour les systèmes et les dossiers internes du client^{Note de bas de page 10 Note de bas de page 11}.
22. Grâce à cette intégration et à cette synchronisation, Edsby a accès à de grandes quantités de renseignements sur les élèves, les parents, les enseignants et le personnel administratif et traite ces renseignements au quotidien. Les utilisateurs peuvent également entrer du nouveau contenu dans Edsby chaque jour d’école, notamment, la présence des élèves, le contenu des travaux en classe, les preuves de l’apprentissage des élèves, l’inscription aux activités et les communications entre parents et enseignants.
23. L’intimé utilise une plateforme infonuagique gérée par un grand fournisseur international de services infonuagiques (le fournisseur de services infonuagiques) pour héberger l’application Edsby et stocker les données générées par les utilisateurs de l’application. Cette plateforme en nuage prétend adhérer à une série de normes de sécurité, dont ISO 27018, la norme internationale concernant la protection des données à caractère personnel dans l’informatique en nuages. Les données des clients canadiens d’Edsby sont conservées sur des serveurs infonuagiques canadiens entretenus par le fournisseur de services infonuagiques. Un modèle multilocataire pour les données des clients est utilisé et, par défaut, aucun partage de données entre locataires n’est autorisé^{Note de bas de page 12}. L’accord de CoreFour avec le fournisseur de services infonuagiques exige que les données des clients restent confidentielles et ne soient utilisées qu’aux fins de la relation d’affaires. Après la découverte de la vulnérabilité liée aux photos de profil, mais avant le début de notre enquête, l’intimé a retenu les services d’un tiers fournisseur de services de sécurité (le fournisseur de services de sécurité) pour fournir des services de sécurité en nuage, y compris un pare-feu d’application Web en nuage, pour mieux protéger les serveurs en nuage d’Edsby.
24. L’intimé a déclaré qu’Edsby est en mesure de s’intégrer à d’autres applications d’éducation à la demande de ses clients au moyen d’une norme appelée Learning Tools Interoperability (LTI) (interopérabilité des outils d’apprentissage). La norme LTI est gérée par un organisme indépendant sans but lucratif qui soutient l’interopérabilité des technologies de l’éducation^{Note de bas de page 13}.
25. L’intimé a expliqué qu’il peut échanger certains renseignements personnels ou autres avec deux « partenaires de canaux » externes d’Edsby et un « partenaire de produit » au Canada, dans des circonstances précises^{Note de bas de page 14}. Les partenaires de canaux (p. ex., les agents, les revendeurs à valeur ajoutée et les distributeurs) ont accès aux démonstrations d’Edsby dans leurs serveurs d’essai, mais pas aux systèmes de production d’Edsby et, par conséquent, n’ont pas accès aux renseignements personnels dans Edsby. Les partenaires de produits sont des développeurs d’applications éducatives et de solutions de contenu choisies par le client pour être intégrées dans sa version d’Edsby. L’information échangée avec ces applications, et l’information à laquelle chaque utilisateur a accès, sont également déterminées par chaque client. CoreFour applique ses mesures de sécurité en conséquence.
26. La capacité de l’intimé d’accorder à des tiers, comme des partenaires de produits, l’accès aux renseignements sur les utilisateurs d’Edsby est limitée par les ententes contractuelles conclues avec ses clients, et exige des directives écrites et l’approbation d’un représentant autorisé de l’école ou du conseil scolaire du client concerné.
27. Il existe deux applications mobiles Edsby : Edsby et Edsby Capture. L’application Edsby permet aux élèves, aux parents et aux enseignants d’accéder à leur compte Edsby et d’utiliser les fonctions d’Edsby de la même façon qu’ils le feraient lorsqu’ils accèdent à un navigateur Web sur un ordinateur de bureau ou un ordinateur portable. L’intimé ne fournit pas de mode « hors ligne » dans l’application mobile d’Edsby et ne tente donc pas de stocker des renseignements importants sur l’utilisateur dans la mémoire locale d’un appareil mobile, sauf pour une mise en cache limitée^{Note de bas de page 15} pour des raisons de performance.
28. L’application Edsby Capture lit les codes QR^{Note de bas de page 16} générés dans les classes Edsby. Cela permet aux utilisateurs de prendre des photos (p. ex., d’un devoir terminé) puis de télécharger le contenu dans le volet Preuve d’apprentissage lié à la classe en question. Le nom du site du client, le numéro d’identification de la classe et de l’élève, et un ticket d’authentification de la date et de l’heure sont codés dans le but limité de télécharger l’élément spécifique. Les photos prises au moyen de l’application Capture ne sont pas stockées dans l’appareil mobile d’un utilisateur. Elles sont plutôt téléchargées directement vers Edsby.
29. Dans le cadre de notre examen des applications, nous avons également examiné les autorisations demandées et interrogé l’intimé au sujet de ses besoins en matière d’autorisations. Les autorisations de l’application étaient conformes aux objectifs définis et aux fonctionnalités de chaque application.
30. L’intimé fournit des conseils détaillés aux utilisateurs d’Edsby, notamment une foire aux questions^{Note de bas de page 17}, des vidéos d’aide aux utilisateurs^{Note de bas de page 18} et des nouvelles sur les produits^{Note de bas de page 19} sur son site Web, ainsi que du matériel supplémentaire pour ses clients des écoles privées et des conseils scolaires, y compris des mises à jour sur les produits et un guide d’utilisation détaillé d’Edsby.

L’adoption et l’intégration d’Edsby par le conseil scolaire

31. Le conseil scolaire nommé dans les allégations du plaignant est un important conseil scolaire de l’Ontario qui compte plus de 120 000 élèves dans plus de 200 écoles. Il a sélectionné l’application Edsby en août 2016, à la suite d’un processus d’appel d’offres. L’intimé a expliqué que le conseil scolaire a adopté une approche prudente à l’égard de l’adoption et de l’intégration d’Edsby au moyen de programmes pilotes. Son plan de mise en œuvre sur quatre ans a commencé à l’automne 2016 :
    1. L’année scolaire 2016-2017 a été consacrée à la configuration et à l’adaptation d’Edsby pour répondre aux exigences du conseil scolaire;
    2. En 2017-2018, le système de réservation des entrevues parents-enseignants est entré en service. Il y a eu ensuite le déploiement graduel du service de présences dans certaines écoles des conseils scolaires;
    3. L’année scolaire 2018-2019 a vu l’introduction des outils des preuves de l’apprentissage et de communication sur l’apprentissage dans certaines classes de maternelle. Certaines écoles ont également réalisé des projets pilotes du service de bulletins scolaires d’Edsby;
    4. Les années 2017-2018 et 2018-2019 ont vu le lancement de campagnes d’inscription, y compris les inscriptions à la maternelle, aux écoles de langues internationales et aux ateliers d’été;
    5. L’année 2019-2020 a vu le déploiement élargi des outils d’évaluation et de production de bulletins d’Edsby et le déploiement du service de présences d’Edsby dans les écoles secondaires du conseil scolaire.
32. L’intimé a expliqué en détail au Commissariat le processus d’intégration des clients d’Edsby. Ce processus peut prendre jusqu’à un an. Le conseil scolaire a été intégré selon ce cheminement standard. En résumé, CoreFour travaille en étroite collaboration avec le client avant le déploiement de l’application, notamment en effectuant les tâches suivantes :
    1. adapter Edsby aux besoins particuliers du client, par exemple en : i) déterminant quels renseignements seront extraits des systèmes existants du client et quelles données seront «  réintégrées »; et ii) déterminant les autorisations appropriées des utilisateurs;
    2. mettre à l’essai la configuration avec des données fictives, en mettant à la disposition de ses clients un bac à sable^{Note de bas de page 20} sur un serveur externe hors ligne;
    3. vérifier l’intégration entre Edsby et les systèmes du client, les données structurées et les applications dans le domaine de l’éducation demandées;
    4. offrir de la formation au personnel du client à l’aide de l’environnement d’essai ou du bac à sable d’Edsby.
33. Le conseil scolaire et l’intimé ont d’abord conclu deux ententes concernant Edsby : i) une entente de services (l’entente de services) et ii) une entente de confidentialité et de protection des renseignements personnels (l’entente de protection des renseignements personnels). Nous notons que les ententes exigent que l’intimé, ses fournisseurs et ses sous-fournisseurs se conforment à la LPRPDE.
34. En janvier 2018, le conseil scolaire a demandé à un vérificateur des TI indépendant (le vérificateur des TI) d’évaluer les pratiques de sécurité de l’information et de protection de la vie privée de l’intimé pour Edsby (l’évaluation). Après la publication de certaines recommandations par le vérificateur des TI, le conseil scolaire et l’intimé ont signé une lettre de modification (la lettre de modification) qui contenait de nouvelles conditions concernant la sécurité et la protection des données personnelles du conseil scolaire. Les nombreuses conditions de la lettre de modification confirment, entre autres, que toutes les données dans Edsby concernant les programmes du conseil scolaire, les élèves et d’autres personnes appartiennent au conseil scolaire. L’intimé ne peut utiliser les renseignements personnels des élèves à son propre avantage, ni créer ou tenir à jour des données dérivées des renseignements, sauf dans le but de s’acquitter de ses obligations suivant ses ententes et de la façon autorisée par le conseil scolaire. D’autres conditions stipulent que l’intimé ne peut donner accès à des tiers ou communiquer des données qu’avec le consentement préalable du conseil scolaire et sous réserve de certaines conditions. Le conseil peut également exiger, à sa demande, le retour ou la destruction des données détenues par l’intimé ou toute tierce partie agissant en son nom.
35. Au moment de notre visite sur place, l’intimé a déclaré que le vérificateur des TI était le seul tiers autorisé par le conseil scolaire à avoir accès à Edsby.

Question 1 : Mesures de sécurité

36. Conformément au principe 4.7 de l’annexe 1 de la LPRPDE, une organisation est tenue de veiller à ce que les renseignements personnels soient « protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité ».
37. Le principe 4.7.1 stipule que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées, et que les organisations doivent protéger les renseignements personnels, quelle que soit la forme sous laquelle ils sont conservés. Le principe 4.7.2 ajoute que la nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés.
38. Le principe 4.7.3 stipule que les méthodes de protection devraient comprendre : a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux; b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.
39. Comme nous l’expliquons plus loin, dans l’ensemble, notre enquête a révélé que l’intimé avait mis en œuvre nombre de bonnes pratiques de sécurité. Nous avons toutefois confirmé que les allégations du plaignant au sujet de certaines vulnérabilités en matière de sécurité (mots de passe parentaux faibles et accès à des photos de profil d’élèves) étaient exactes. Nous avons également relevé une autre vulnérabilité associée au téléchargement de documents vers Edsby. En fin de compte, nous avons déterminé que l’intimé ne disposait pas d’un cadre global de sécurité de l’information. À notre avis, si l’intimé avait mis en œuvre un tel cadre, il aurait pu atténuer et potentiellement éviter les vulnérabilités relevées.
40. Compte tenu de ce qui précède, nous avons recommandé que l’intimé mette en œuvre certaines mesures pour se conformer à ses obligations en matière de sécurité au titre de la LPRPDE. Comme il est indiqué ci-dessous dans la section « Réponse aux recommandations », l’intimé a accepté ces recommandations et les a déjà mises en œuvre ou est sur le point de le faire.

Sensibilité des renseignements personnels

41. L’intimé recueille et conserve des renseignements personnels importants sur les enfants, comme le nom de l’élève, la date de naissance, le numéro d’identification de l’élève, les photos de l’élève, des détails sur ses parents et leur lieu de résidence, les écoles fréquentées par l’élève, les dossiers de fréquentation et d’absence, les renseignements médicaux (comme les allergies), les travaux scolaires, les résultats d’examens et les bulletins scolaires, entre autres.
42. Certains éléments de ces renseignements, comme les renseignements médicaux ou les bulletins scolaires, peuvent être de nature délicate en soi.
43. De plus, nous remarquons qu’une grande partie des renseignements personnels consultés et traités par l’intimé dans Edsby concernent principalement des personnes qui constituent un groupe vulnérable, c’est-à-dire de jeunes enfants qui fréquentent la maternelle jusqu’à des adolescents qui fréquentent l’école secondaire.
44. L’information associée à un élève dans Edsby, prise ensemble, pourrait créer des profils riches en données qui, à leur tour, pourraient être utilisés à mauvais escient pour suivre des enfants en ligne dans le but d’envoyer de la publicité comportementale ou, dans des cas plus malveillants, pour cibler ou même mettre en danger des enfants.
45. Le volume de renseignements personnels traités par l’intimé est considérable et comprend les renseignements de centaines de milliers d’élèves et de leurs parents. Cette information continue de croître à mesure que l’intimé ajoute de nouveaux clients et utilisateurs d’Edsby, et que les clients actuels et leurs utilisateurs se prévalent d’autres fonctions d’Edsby.
46. Compte tenu du volume et de la nature sensible des renseignements personnels recueillis, utilisés et communiqués par Edsby, les renseignements devraient être protégés par des mesures de sécurité de haut niveau.

Politique de gestion des mots de passe

47. Lorsque les parents ont été informés que leurs enfants étaient inscrits sur Edsby et ont été invités à créer des comptes parentaux dans Edsby, le plaignant a fait remarquer qu’il était possible d’ouvrir un compte avec un mot de passe aussi court qu’un seul caractère. Il a suggéré au conseil scolaire et à l’intimé que les mots de passe de ces comptes devraient avoir une longueur minimale obligatoire.
48. Les Lignes directrices en matière d’identification et d’authentification^{Note de bas de page 21} du Commissariat stipulent, en partie, que les organisations devraient éviter les processus d’authentification faibles, par exemple, en exigeant que les personnes créent des mots de passe difficiles à deviner, qui dépassent une longueur et une complexité minimales.
49. L’intimé a expliqué au Commissariat que ses clients traitent les parents comme des « contacts » désignés des élèves jusqu’à ce qu’ils se sentent prêts à les inviter à participer à Edsby. Les invitations sont envoyées aux adresses de courriel des parents tirées des dossiers des « contacts ». Les parents peuvent ouvrir un compte parental dans Edsby, qui est lié au compte d’élève de leur enfant, ce qui permet aux parents de voir certains contenus, p. ex., les activités, les devoirs et les notes de leur enfant. Si un parent choisit de ne pas accepter une invitation, le parent demeure un simple « contact » de son enfant.
50. L’intimé fournit des comptes d’utilisateurs pour les élèves, les parents, les enseignants et le personnel de chaque école ou conseil scolaire qui choisit de déployer Edsby. Celui-ci s’intègre au système d’authentification existant d’un client, comme Active Directory^{Note de bas de page 22}, plutôt que de stocker et d’authentifier les mots de passe directement dans l’application. Les établissements d’enseignement gèrent les normes relatives aux mots de passe qui s’appliquent dans ces cas.
51. L’intimé a déclaré qu’il ne gère pas ou n’authentifie pas 95 % des comptes d’utilisateurs d’Edsby. Parmi les autres comptes d’utilisateurs gérés et authentifiés dans Edsby par l’intimé, environ 90 % sont des comptes de parents ou de tuteurs.
52. L’intimé a estimé qu’à la fin de 2017, il gérait environ 150 000 mots de passe Edsby pour tous ses clients. En juin 2019, environ 40 000 comptes parentaux avaient été créés dans Edsby à la demande du conseil scolaire.
53. L’intimé a confirmé que les mots de passe gérés par Edsby ne sont pas stockés dans un format en texte clair, mais que chacun est soumis au salage et au hachage, c’est-à-dire qu’il est modifié par moyen cryptographique de façon à ne pas pouvoir être analysé pour détecter sa longueur ou d’autres caractéristiques.
54. Cela dit, l’intimé a reconnu l’existence de la vulnérabilité soulevée par le plaignant. En avril 2018, il a réglé la vulnérabilité en déployant une modification du logiciel qui a eu pour résultat des normes et des contrôles plus stricts correspondant à la norme NIST pour tous les nouveaux mots de passe gérés par Edsby^{Note de bas de page 23}.
55. Toutefois, au début de notre enquête, l’intimé n’avait pas encore changé les règles pour les mots de passe existants, ni mis à jour le code de programme pertinent pour assurer sa conformité à la norme NIST. L’intimé a confirmé son intention de réinitialiser les mots de passe pour les comptes d’utilisateur existants lorsqu’il était l’autorité d’authentification. Les utilisateurs qui avaient potentiellement établi un mot de passe faible seraient tenus d’établir un mot de passe plus fort pour se conformer à la norme NIST avant de pouvoir accéder à leur compte.
56. Cette réinitialisation a eu lieu à l’automne 2019 et l’amélioration des contrôles de gestion des mots de passe a été communiquée à tous les clients d’Edsby dans un bulletin de produits en ligne^{Note de bas de page 24}.
57. Nous sommes d’avis que la gestion par l’intimé des mots de passe pour les comptes parentaux d’Edsby était inadéquate compte tenu de la quantité et du caractère sensible de l’information sous le contrôle d’Edsby. Nous avons soulevé le risque que des personnes aient accès à l’information détenue dans Edsby, une vulnérabilité qui est demeurée pendant environ 18 mois, jusqu’à ce que des changements soient mis en œuvre pour exiger des mots de passe plus forts pour les comptes existants.

Photos de profil d’élèves

58. En accédant à l’application Edsby, le plaignant a pu avoir accès aux vignettes des photos de profil d’enfants autres que le sien, lesquels fréquentaient des écoles dans le même district^{Note de bas de page 25}. Le plaignant a regardé les autres vignettes dans son navigateur Internet en parcourant les noms de fichiers des photos individuelles, qui prenaient la forme de numéros d’identification séquentiels.
59. En janvier 2019, le plaignant a informé le directeur de l’école de ses enfants de la vulnérabilité de sécurité et a envoyé à titre de preuve un petit échantillon des vignettes d’autres élèves auxquelles il avait pu avoir accès. Le conseil scolaire a à son tour informé l’intimé. Le conseil scolaire et l’intimé ont par la suite rencontré le plaignant pour discuter de cette question et d’autres préoccupations qu’il avait en matière de sécurité et de protection de la vie privée. L’intimé allègue que lorsqu’il a demandé au plaignant la nature de la vulnérabilité, celui-ci a refusé de s’expliquer.
60. L’intimé a estimé qu’en janvier 2019, environ 120 000 élèves inscrits au conseil scolaire avaient des vignettes de leurs photos de profil d’élèves dans Edsby. L’intimé a fait remarquer que ce ne sont pas tous les clients qui choisissent de télécharger des photos de profil vers Edsby et que peu importe leur choix, la méthodologie pour les inclure reste la même. Par conséquent, la vulnérabilité existait peut-être pour d’autres clients d’Edsby.
61. L’intimé a déclaré que c’est en janvier 2019 qu’il a pris connaissance de la vulnérabilité de sécurité pour la première fois. Son enquête sur la question a confirmé que des vignettes des photos de profil d’élèves étaient visées. Aucune photo originale à haute résolution des élèves, ni aucun autre renseignement sur les élèves, comme leur nom ou leur date de naissance, n’étaient à risque.
62. L’intimé a expliqué qu’il utilisait une approche pour le traitement des fichiers normaux et le stockage de photos et une approche complètement distincte pour le traitement des vignettes. Il a utilisé des vignettes pour permettre une interface utilisateur de style social qui fournit des images, dans ce cas des photos d’élèves, dans diverses parties de l’expérience utilisateur d’Edsby. Le stockage et le traitement des fichiers normaux sont gérés par des contrôles d’accès dans Edsby. Les vignettes sont traitées séparément, les noms de fichiers étant traités comme des clés.
63. L’intimé a examiné les fichiers journaux du serveur Edsby depuis août 2017. Il a été établi que le plaignant a consulté ces vignettes un nombre limité de fois sur une période de 14 mois entre novembre 2017 et janvier 2019. Selon l’intimé, le plaignant était la seule personne à l’avoir fait, et il avait téléchargé un total de 163 photos. Seules les photos d’élèves inscrits au conseil scolaire étaient visées.
64. L’intimé a expliqué qu’il a apporté des changements immédiats à l’environnement de production d’Edsby afin de réduire le potentiel d’exploitation de la vulnérabilité. Il a ensuite créé et déployé une correction plus permanente de l’environnement de production le 23 janvier 2019, remplaçant les numéros de fichier séquentiels des photos par des identificateurs globaux uniques^{Note de bas de page 26}.
65. Au cours de notre visite sur place, l’équipe de développement de l’intimé a démontré à nos analystes techniques qu’il n’était plus possible d’accéder aux photos dans l’environnement de production d’Edsby en modifiant les noms des fichiers.
66. Durant notre enquête, nous avons constaté que les vignettes des photos d’élèves dans l’environnement de production avaient été conservées dans un répertoire partagé auquel tous les utilisateurs autorisés d’Edsby du conseil scolaire avaient accès. De plus, les contrôles d’accès dans Edsby n’étaient pas détaillés au niveau des fichiers, et il n’y avait pas de pare-feu d’application Web en place lorsque la vulnérabilité a été signalée par le plaignant. Par conséquent, il aurait été possible pour un autre tiers ayant un accès d’utilisateur d’accéder séquentiellement aux photos et de les recueillir sans se faire détecter, comme l’a fait le plaignant.
67. L’exploitation de la vulnérabilité aurait exigé qu’une personne ait accès à Edsby, pour voir et recueillir les photos. Nous remarquons qu’aucune autre donnée sur les élèves n’était liée aux photos. Cependant, le nombre de photos potentiellement accessibles grâce à la vulnérabilité était supérieur à 120 000 et il s’agissait d’enfants. De plus, la vulnérabilité existait depuis un certain temps et elle a été décelée par une tierce partie qui a pu accéder aux images ou photos sur une période de 14 mois sans être détectée.
68. L’utilisation par l’intimé de noms de fichiers numérotés séquentiellement, leur affichage dans les adresses URL des fichiers et l’absence d’un pare-feu d’application Web n’ont pas protégé adéquatement ces photos contre un accès non autorisé.
69. Cela dit, l’intimé a réagi rapidement après en avoir pris connaissance. L’utilisation d’identificateurs globaux uniques ainsi que l’introduction d’un pare-feu d’application Web et d’un système de détection des intrusions aideront à prévenir tout accès non autorisé à l’avenir.

Cadre de sécurité de l’information

70. Le plaignant a affirmé que l’intimé ne semblait pas avoir mis en place un cadre, des ressources, des politiques et des normes adéquats en matière de sécurité de l’information pour protéger le grand volume de renseignements personnels sensibles détenus dans Edsby.
71. En plus des principes 4.7 à 4.7.3 (décrits ci-dessus), le principe 4.1.4 de la LPRPDE exige que les organisations mettent en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris la mise en œuvre des procédures pour protéger les renseignements personnels. La documentation des politiques de sécurité et des plans de mise en œuvre permet de clarifier les attentes et les exigences, assure l’uniformité et aide une organisation à cerner et à gérer les risques pour la sécurité de l’information. En ce sens, une documentation appropriée et une formation connexe constituent en soi une mesure de protection cruciale.
72. Au cours de l’enquête, l’intimé a fourni des renseignements détaillés sur son architecture de sécurité de l’information et a répondu aux questions détaillées sur la sécurité de l’information que nous avons soumises^{Note de bas de page 27}.
73. L’intimé a informé le Commissariat de l’évaluation d’Edsby par le vérificateur des TI, au début de 2018, à la demande du conseil scolaire. L’évaluation a porté sur : i) la sécurité opérationnelle du réseau interne Edsby; ii) la sécurité physique et environnementale de l’intimé; iii) l’acquisition, le développement et l’entretien des systèmes; iv) les relations avec les fournisseurs; et vi) la gestion des incidents liés à la sécurité de l’information. L’évaluation comprenait une visite des locaux d’affaires de l’intimé et la mise à l’essai de ses contrôles de sécurité.
74. Nous avons examiné une copie de l’évaluation, dans laquelle le vérificateur des TI a formulé certaines recommandations pour améliorer la sécurité et la protection des données du conseil scolaire dans l’application Edsby.
75. Nous avons déterminé que les problèmes techniques particuliers relevés par le vérificateur ont été réglés rapidement, et que le balayage des vulnérabilités et les tests de pénétration d’Edsby ont été améliorés et officialisés. Les recommandations relatives à la protection de la vie privée ont été prises en compte dans la lettre de modification décrite au paragraphe 34.
76. Toutefois, l’évaluation a révélé que l’intimé n’avait pas mis en place de politique officielle sur la sécurité de l’information, s’appuyant plutôt sur un consensus sur les « pratiques exemplaires » pour orienter son approche globale. Elle a recommandé à l’intimé d’appliquer et de suivre une telle politique qui est harmonisée avec une norme de sécurité de l’industrie reconnue.
77. L’intimé n’avait pas non plus une structure de gouvernance en bonne et due forme, ni de responsable désigné de la sécurité de l’information ou de la liaison avec des tiers externes pour assurer la sécurité de l’information d’Edsby. Le rapport d’évaluation recommandait que cette question soit également abordée.
78. Le vérificateur des TI a également noté, à l’époque, que l’intimé n’avait pas de stratégie ou de plan d’intervention documenté en cas d’atteinte, ni de personne ou d’équipe désignée chargée de détecter les alertes et les incidents de sécurité de l’information ou d’y répondre.
79. Au cours de notre propre enquête, nous avons constaté que les procédures de sécurité de l’information de l’intimé demeuraient informelles et qu’il y avait peu de documentation à l’appui. Toutefois, l’intimé a indiqué qu’il était déterminé à atteindre une norme de sécurité de l’industrie et qu’il était en train de définir, d’examiner et de documenter ses procédures. Plus tard, en réponse à nos recommandations, l’intimé a précisé qu’il était sur le point d’obtenir la certification ISO 27001.
80. Nous avons en outre observé qu’une quantité considérable d’information et de connaissances sur les opérations de l’intimé en matière de sécurité de l’information, et la responsabilité de les gérer, semblaient concentrées entre les mains d’un seul employé. Notre équipe d’enquête a pu s’en rendre compte lors de notre visite sur place, lorsque nous devions constamment faire intervenir l’employé au moment des entrevues pour répondre à des questions techniques auxquelles d’autres employés auraient dû pouvoir répondre au vu du rôle qui leur était assigné. Le manque de ressources supplémentaires en matière de sécurité de l’information, l’absence de séparation des responsabilités pour de telles opérations et la documentation limitée entourant les procédures opérationnelles de sécurité de l’information représentent une lacune importante dans les pratiques de sécurité de l’intimé.
81. Bien que l’intimé ait fourni au Commissariat des versions à jour de ses projets de politiques et de procédures comprenant son cadre de sécurité de l’information, celles dont nous avons pris connaissance étaient toujours en cours d’élaboration et n’avaient toujours pas été finalisées.
82. Le fait que l’intimé ne dispose pas des processus, des procédures ou des gabarits écrits qui font partie d’un cadre global de sécurité de l’information contrevient au principe 4.1.4, ainsi qu’aux principes 4.7 à 4.7.3 de la LPRPDE. Nous remarquons que les travaux relatifs au cadre se poursuivent (recommandation formulée une première fois dans l’évaluation de 2018), mais qu’ils n’étaient toujours pas terminés au moment de rédiger ce rapport.

Autres questions de sécurité

83. Nous avons également procédé à une évaluation de diverses autres mesures de sécurité particulières adoptées par l’intimé. Nous avons observé plusieurs bonnes pratiques de sécurité, ainsi qu’une autre vulnérabilité, comme il en est question ci-dessous.
84. L’intimé a actuellement recours à un fournisseur de services de sécurité tiers pour plusieurs services de sécurité, y compris un pare-feu d’application Web et un système de détection des intrusions pour protéger les serveurs Edsby en nuage contre les menaces externes. L’équipe de services professionnels du fournisseur de services de sécurité gère tous les aspects de la sécurité. Des avis par courriel sont envoyés à l’intimé en cas d’alertes, et le personnel de l’intimé visionne les alertes sur le tableau de bord du fournisseur de services de sécurité.
85. Depuis que l’intimé a engagé le fournisseur de services de sécurité mentionné au paragraphe 23, des tests de pénétration externes d’Edsby sont maintenant effectués au moins une fois par année. Nous avons été à même de constater lors de nos tentatives de pénétration de l’application que celles-ci étaient constamment bloquées par le pare-feu du fournisseur de services de sécurité. L’intimé a également reçu plusieurs alertes de sécurité qui ont mené au blocage de nos comptes d’essai.
86. L’accès à Edsby par les utilisateurs au niveau de l’école et du district scolaire est hiérarchique, fondé sur le compte et dicté par les besoins de chaque client. Chaque compte d’utilisateur se voit attribuer un rôle défini, et chaque rôle représente un ensemble d’autorisations et de privilèges dans Edsby qui permettent aux utilisateurs de récupérer et de consulter des renseignements dans l’application. Edsby travaille également sur un système basé sur les liens qui détermine la relation entre les comptes, p. ex., le lien entre le compte d’un parent et le compte de l’élève de son enfant, ou le lien entre un enseignant et le compte d’un élève de cet enseignant.
87. Les services d’autorisation et d’authentification des utilisateurs sont fondés sur le système de justificatifs d’identité propre au client, lequel est habituellement utilisé au sein de son système de renseignements sur les élèves. Chaque client a la capacité d’établir et de contrôler les rôles, les autorisations, les accès et les adhésions de groupe des utilisateurs dans Edsby.
88. CoreFour avait mis en place diverses mesures pour limiter l’accès interne et assurer la confidentialité. L’intimé exige que ses employés, entrepreneurs, consultants et étudiants stagiaires signent une entente de non divulgation afin de protéger la confidentialité des renseignements appartenant à l’organisation et à ses clients. L’accès direct aux renseignements sur les utilisateurs d’Edsby est en outre limité à un petit sous-groupe d’employés des équipes de développement de logiciels et de soutien à la clientèle à des fins définies, pour résoudre les problèmes des clients, par exemple. Ces employés doivent signer une entente supplémentaire sur la protection des renseignements personnels. Aucun entrepreneur, consultant ou étudiant n’a accès à ces renseignements. L’intimé consigne également l’accès interne à ses systèmes et à Edsby en tout temps et surveille régulièrement les registres.
89. L’intimé consigne également les interactions des utilisateurs dans Edsby, qui font ensuite l’objet d’un examen régulier par l’intimé au moyen d’outils de production de rapports, afin de s’assurer que les utilisateurs ne se livrent pas à des pratiques qui représentent une menace pour la sécurité ou qui sont contraires à ses conditions d’utilisation. Les règles de surveillance du système sont contrôlées à l’interne et surveillées par l’intimé pour s’assurer qu’elles fonctionnent comme prévu et que les alertes appropriées sont générées.
90. Bien que ce qui précède représente ce que nous considérerions comme de bonnes pratiques de sécurité, nous avons relevé un problème quant à la façon dont Edsby télécharge les données utilisées par ses clients, à partir de solutions de courriel et de stockage comme Google Workspace (anciennement Google G Suite) et Microsoft Office 365. Lorsque les clients l’autorisent, les données sont importées « telles quelles » dans Edsby, CoreFour s’en remettant à des solutions offertes par des tiers qui ont déjà balayé les données pour détecter des maliciels. Même si ces fournisseurs ont peut-être déjà balayé les données, l’intimé ne devrait pas simplement présumer que c’est le cas. Si ce balayage par un tiers n’a pas eu lieu ou a échoué pour quelque raison que ce soit, Edsby pourrait être compromis.
91. À notre avis, l’absence de balayage de ces menaces potentielles à la sécurité d’Edsby représentait donc une autre faiblesse des mesures de sécurité et une violation du principe 4.7 de l’annexe 1 de la LPRPDE. En réponse à une recommandation du Commissariat (voir ci-dessous), CoreFour a confirmé avoir résolu ce problème en 2020.

Mesures de sécurité – recommandations

92. Compte tenu des problèmes de sécurité de l’information et des infractions à la LPRPDE soulignés ci-dessus, nous recommandons que l’intimé applique les mesures suivantes pour se conformer à ses obligations en matière de sécurité selon le principe 4.1.4 et les principes 4.7 à 4.7.3 de l’annexe 1 de la LPRPDE, dans les six mois suivant la publication du présent rapport.
    1. Achever et mettre en œuvre son cadre de gestion de la sécurité de l’information, en priorité, y compris l’ensemble des politiques, procédures, processus et gabarits technologiques par écrit;
    2. Dans le cadre de gestion ci-dessus, mettre en œuvre des mesures pour veiller à ce qu’il dispose des ressources humaines supplémentaires suffisantes pour la sécurité des TI, et établir une séparation appropriée des responsabilités en matière de sécurité des TI;
    3. Effectuer ses propres analyses des maliciels lors de l’importation de contenu dans Edsby à partir d’autres applications logicielles de tiers;
    4. Former son personnel sur les politiques, procédures et mesures entreprises en réponse aux recommandations a) à c) ci-dessus.
93. Nous demandons également à l’intimé de fournir au Commissariat un rapport d’une tierce partie qualifiée et indépendante documentant les mesures qu’il a prises pour se conformer aux recommandations ci-dessus.

Question 2 : Déclaration et notification en cas d’atteinte

94. Pour les raisons énoncées ci-dessous, nous avons conclu que l’intimé n’avait pas contrevenu aux dispositions de la LPRPDE relatives à la déclaration obligatoire des atteintes à la vie privée, à la notification et à la tenue de registres.
95. Comme nous l’expliquons plus loin, nous avons conclu qu’en ce qui concerne la vulnérabilité liée à la gestion des mots de passe, il n’y a pas eu d’atteinte réelle. Quoi qu’il en soit, à l’époque, la déclaration des atteintes par les organisations du secteur privé n’était pas encore obligatoire au titre de la LPRPDE. L’intimé n’était donc pas tenu, selon la LPRPDE, d’informer les parents ou le Commissariat de la vulnérabilité.
96. Comme nous l’expliquons plus loin, lorsque le plaignant a informé l’intimé de la vulnérabilité liée aux photos d’élèves, la déclaration et la notification obligatoires en cas d’atteinte sont entrées en vigueur au titre de la LPRPDE. Toutefois, nous avons constaté que la seule atteinte associée à cette vulnérabilité découlait des gestes posés par le plaignant, qui, à notre avis, n’ont pas entraîné un risque réel de préjudice grave, de sorte que l’intimé n’était pas tenu de déclarer l’atteinte au Commissariat ou d’aviser les parents touchés. Enfin, nous avons constaté que l’intimé avait mis en place des procédures appropriées de déclaration des atteintes et tenait un registre des atteintes, comme l’exige la LPRPDE.

Obligation de déclarer les atteintes et d’aviser les personnes touchées

97. Avant le 1^er novembre 2018, les déclarations et les notifications en cas d’atteinte faites par les organisations assujetties à la LPRPDE étaient volontaires. Après cette date, les organisations sont devenues assujetties à des obligations de déclaration, de notification et de tenue de registres selon les articles 10.1, 10.2 et 10.3 de la LPRPDE et le Règlement sur les atteintes aux mesures de sécurité y afférent^{Note de bas de page 28}.
98. L’article 10.1 de la LPRPDE stipule, entre autres, qu’une organisation doit déclarer au commissaire à la protection de la vie privée du Canada toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu. L’article ajoute qu’une organisation est tenue d’aviser les personnes touchées de ces atteintes. L’article 10.2 stipule qu’une organisation est tenue d’en aviser toute autre organisation qui pourrait être en mesure d’atténuer les préjudices causés aux personnes touchées. L’article 10.3 stipule qu’une organisation tient et conserve un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion et doit, sur demande du commissaire à la protection de la vie privée, donner accès à ce registre ou lui en remettre copie.
99. Le Commissariat a publié des directives intitulées Ce que vous devez savoir sur la déclaration obligatoire des atteintes aux mesures de sécurité (les directives sur les atteintes)^{Note de bas de page 29}. Les directives sur les atteintes précisent que, conformément à l’article 10.1 de la LPRPDE, l’obligation de signaler une atteinte incombe à l’organisation qui « gère » les renseignements personnels en question. Par conséquent, une organisation qui traite des renseignements personnels uniquement au nom d’une autre organisation n’est habituellement pas tenue de signaler l’atteinte.
100. L’évaluation de 2018 du vérificateur des TI comprenait une recommandation selon laquelle l’intimé devait présenter un plan pour assurer une intervention rapide et efficace en cas d’atteinte à la vie privée, et selon laquelle le plan devait comprendre l’obligation d’aviser le conseil scolaire en cas d’atteinte soupçonnée ou réelle aux données du conseil scolaire. L’intimé a fourni au Commissariat une copie datée d’octobre 2018 de ses procédures de déclaration des atteintes à la sécurité et de son registre des atteintes, qu’il a créés en réponse à la recommandation du vérificateur des TI.
101. Nous notons que la lettre de modification de novembre 2018 contient également des conditions concernant l’obligation pour l’intimé d’informer le conseil scolaire de toute atteinte soupçonnée ou réelle et de collaborer avec le conseil dans le cadre de toute enquête subséquente et de toute divulgation aux parties touchées.
102. L’intimé agit à titre de fournisseur de services auprès du conseil scolaire. Conformément à nos orientations sur les atteintes, mentionnées au paragraphe 99 ci-dessus, cela soulève la question de savoir si CoreFour gérait les renseignements personnels en cause aux fins de l’article 10.1 de la LPRPDE et si CoreFour était responsable de déclarer l’atteinte en question. Nous sommes toutefois d’avis qu’il n’est pas nécessaire de rendre une décision sur cette question pour les raisons qui suivent.

Déclaration et notification : la vulnérabilité liée à la gestion des mots de passe

103. L’intimé et le conseil scolaire ont été informés de la vulnérabilité liée à la gestion des mots de passe en novembre 2017. L’examen effectué par l’intimé n’a révélé aucun accès non autorisé à Edsby, ni aucune perte, collecte ou communication de renseignements personnels sur les utilisateurs. L’intimé a réglé ce problème pour les nouveaux comptes en avril 2018, et pour les comptes existants à l’automne 2019. Il a de plus informé tous ses clients d’Edsby des nouvelles règles pour les mots de passe dans un bulletin de décembre 2019.
104. Nous n’avons aucune preuve que cette vulnérabilité a entraîné une atteinte. De plus, la déclaration des atteintes par les organisations régies par la LPRPDE était volontaire jusqu’en novembre 2018, soit un an après que le plaignant a avisé l’intimé de la vulnérabilité liée aux mots de passe.

Déclaration et notification : la vulnérabilité liée aux photos de profil d’élèves et l’atteinte

105. Le plaignant a informé l’intimé et le conseil scolaire de la vulnérabilité liée aux photos de profil d’élèves en janvier 2019, après l’entrée en vigueur de la déclaration obligatoire des atteintes au titre de la LPRPDE.
106. L’intimé a déclaré que le conseil scolaire a pris sans tarder des mesures pour gérer l’atteinte, en tant que propriétaire des renseignements sur les élèves dans Edsby. Parallèlement, l’intimé a immédiatement cherché à remédier à la vulnérabilité et à protéger les données.
107. L’intimé a affirmé qu’il n’y avait pas de risque réel de préjudice grave pour les élèves en cause, car seules des vignettes des photos de profil d’élèves ont été exposées, sans aucune autre information permettant de les identifier. L’intimé a également examiné ses registres d’accès remontant à août 2017 et a déterminé que la seule atteinte qui s’est produite en raison de la vulnérabilité était l’accès non autorisé et la collecte de 163 photos par le plaignant.
108. L’intimé a aidé le conseil scolaire à identifier les enfants dont les photos ont été consultées sans autorisation, ainsi que leurs parents. Le conseil scolaire a envoyé une lettre à chacun des parents touchés pour les aviser de l’atteinte et a publié un avis général de l’atteinte sur son site Web.
109. L’intimé a expliqué qu’il avait avisé de son propre chef ses autres clients canadiens de l’atteinte par l’entremise de la mise à jour de produit 106 d’Edsby, émise en février 2019.
110. L’intimé a soutenu que les communications ci-dessus allaient au-delà de l’obligation d’aviser les parties touchées qui est imposée par les dispositions de la LPRPDE sur la déclaration obligatoire des atteintes.
111. Les orientations sur les atteintes précisent que les facteurs pertinents pour déterminer si une organisation a subi une atteinte qui a créé un risque réel de préjudice grave comprennent : i) la sensibilité des renseignements personnels en cause; et ii) la probabilité que les renseignements personnels aient été, soient ou seront utilisés à mauvais escient.
112. Bien que la photo d’un enfant, sans la présence d’autres renseignements d’identification, puisse être considérée par certains comme n’étant pas nécessairement sensible, le Commissariat a eu tendance à considérer les renseignements personnels des mineurs, un groupe vulnérable, comme étant de nature généralement sensible.
113. Cela dit, en analysant la probabilité de préjudice découlant de cette atteinte, nous reconnaissons que le plaignant était un parent ayant un accès légitime et existant à l’application et qu’il était déjà connu de l’intimé et du conseil scolaire. Le plaignant a consulté un nombre limité de vignettes de photos d’élèves et en a présenté un petit échantillon à quatre représentants du conseil scolaire, y compris le directeur de l’école de ses enfants, pour informer le conseil scolaire et l’intimé d’une vulnérabilité en matière de sécurité dans Edsby. De plus, bien que le plaignant ait aussi publié un certain nombre de ces photos sur une page Facebook privée accessible à certains parents d’élèves de l’école de ses enfants, les photos étaient brouillées. Le plaignant n’a pas non plus transmis les photos à un tiers non autorisé, seulement au conseil scolaire. Le plaignant a également confirmé par écrit au Commissariat qu’il avait détruit toutes les photos en sa possession en février 2019. À notre avis, il y avait donc une faible probabilité de préjudice pour les élèves touchés ou leurs parents.
114. Après avoir évalué les facteurs susmentionnés, nous sommes d’avis que l’atteinte impliquant les photos ne représentait pas un risque réel de préjudice grave pour les élèves, de sorte qu’aucune déclaration d’atteinte n’aurait été requise.
115. Comme l’indique le paragraphe 102, nous n’avons pas déterminé si l’intimé, en tant que fournisseur de services, serait généralement tenu de signaler une telle atteinte, même s’il y avait un risque réel de préjudice grave. Cela dit, quoi qu’il en soit, le conseil scolaire a bel et bien avisé les parents des enfants touchés. Il a également rapporté l’incident au service de police local qui, dans le cadre de son enquête, a interviewé le plaignant, mais a décidé de ne pas donner suite à la plainte.
116. L’intimé a déclaré qu’à sa connaissance, aucune autre atteinte à la vie privée (correspondant à un risque réel de préjudice grave ou autre) impliquant le conseil scolaire ou ses autres clients n’a eu lieu. Par conséquent, son registre des atteintes à la vie privée ne contenait que des renseignements sur la vulnérabilité liée aux photos de profil.
117. Compte tenu de ce qui précède, nous sommes convaincus que l’intimé n’a pas contrevenu aux dispositions sur la déclaration et la notification des atteintes énoncées aux articles 10.1 à 10.3 de la LPRPDE, en ce qui concerne la vulnérabilité liée à la gestion des mots de passe et la vulnérabilité liée aux photos des élèves.

Autre : l’atteinte visant le fournisseur de services de sécurité

118. Au cours de notre enquête, le plaignant a informé le Commissariat d’une atteinte à la sécurité visant le tiers fournisseur de services de sécurité qui fournit des services de sécurité en nuage à l’intimé et à son application Edsby^{Note de bas de page 30}.
119. Même si cet événement dépassait la portée de notre enquête, nous avons soulevé cette question auprès de l’intimé et lui avons demandé s’il s’agissait d’un des clients du pare-feu des applications Web dont les renseignements avaient été compromis par l’atteinte. Nous avons aussi demandé si l’atteinte avait une incidence sur la sécurité d’Edsby.
120. L’intimé nous a informés qu’il avait remarqué l’annonce de l’atteinte à la sécurité le jour où elle a été publiée et qu’il avait rapidement communiqué avec l’entreprise de sécurité. L’intimé a reconnu que le risque potentiel pour la sécurité d’Edsby était, en théorie, grave. Il a communiqué avec le fournisseur de services de sécurité pour obtenir plus de renseignements sur l’atteinte et déterminer si elle avait eu une incidence sur ses activités. Après avoir terminé son analyse, l’intimé a confirmé qu’aucune donnée sur les clients d’Edsby n’était à risque. Néanmoins, l’intimé a pris toutes les mesures d’atténuation des risques recommandées par l’entreprise de sécurité et a diffusé un résumé de ses conclusions à tous ses clients dans une mise à jour spéciale du produit^{Note de bas de page 31}.

Question 3 : responsabilité

121. Au cours de notre enquête, nous avons examiné les politiques et procédures internes de l’intimé sur la protection des renseignements personnels, les pratiques d’évaluation des risques, la formation sur la protection des renseignements personnels et la politique de confidentialité d’Edsby.
122. Pour ce faire, nous avons tenu compte du principe 4.1.4 de l’annexe 1 de la LPRPDE et du document Un programme de gestion de la protection de la vie privée : la clé de la responsabilité, qui guide les organisations dans l’élaboration d’un programme de gestion de la protection de la vie privée afin de démontrer qu’elles respectent leurs obligations en matière de responsabilité^{Note de bas de page 32}.
123. Le principe 4.1.4 stipule que les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris : a) la mise en œuvre des procédures pour protéger les renseignements personnels; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite; c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures.

Politiques, procédures et contrôles

124. L’intimé a expliqué que même si ses politiques et procédures internes en matière de protection de la vie privée étaient informelles et non écrites, elles étaient en grande partie dictées par les exigences de leurs clients.
125. Par exemple, l’intimé a expliqué qu’il n’avait pas de politique, de procédure et de calendrier de conservation et de destruction des données. Bien qu’Edsby détienne des renseignements personnels détaillés sur les élèves, les parents, les enseignants et le personnel administratif de ses clients, les clients sont les propriétaires et les gestionnaires des données selon leurs ententes de service avec l’intimé. Par conséquent, chaque client établit les paramètres concernant les renseignements sur les utilisateurs qui sont conservés dans Edsby, la durée de leur conservation et les fins auxquelles ils sont conservés, en fonction des lois applicables en matière d’éducation et de protection des renseignements personnels.
126. L’intimé a expliqué qu’à la fin de chaque année scolaire, Edsby configure tous les comptes d’utilisateur comme étant inactifs. Au début de l’année scolaire suivante, l’intimé « extrait » l’information du système de renseignements sur les élèves d’un client et d’autres sources de données pour déterminer quels nouveaux comptes d’utilisateurs doivent être créés et quels comptes existants peuvent être extraits des archives, modifiés et réactivés. Ce processus permet de s’assurer que les comptes d’utilisateur d’un client sont archivés chaque année, par défaut, et que les anciens comptes ne demeurent pas actifs dans Edsby. Le personnel désigné par chaque client peut avoir accès aux comptes archivés. Un administrateur scolaire, par exemple, peut avoir besoin d’accéder aux données des bulletins scolaires de l’année scolaire précédente, même si un compte d’élève peut ne plus être actif ou généralement accessible.
127. L’intimé a déclaré que, dans le cas du conseil scolaire, la suppression de renseignements sur l’utilisateur ou d’un compte exige l’autorisation écrite d’un cadre supérieur du conseil scolaire et que, une fois les renseignements supprimés, l’intimé doit fournir une copie d’un certificat de destruction au conseil scolaire.
128. Nonobstant ce qui précède, le Commissariat ne pouvait pas déterminer clairement comment l’intimé pourrait fournir un soutien approprié en matière de protection de la vie privée à ses clients, comme l’exigent ses ententes contractuelles, sans qu’il ait des politiques et procédures internes adéquates à cet égard.
129. Au cours de l’enquête, l’intimé a reconnu la nécessité d’élaborer et de documenter des politiques et des procédures internes de protection des renseignements personnels qui sont conformes à la LPRPDE. Il a indiqué son intention de créer des procédures de traitement des plaintes et de conservation et de destruction des données. Au moment de la rédaction du présent rapport, le Commissariat n’avait pas reçu de copie de ces procédures.
130. L’intimé a également confirmé que même s’il n’avait pas procédé à une évaluation officielle des risques pour la protection de la vie privée dans l’application Edsby, il avait répondu à des questions concernant sa gestion de ces risques lorsqu’il a répondu aux questions de diligence raisonnable des clients.
131. Bien que nous reconnaissions que de telles évaluations ne sont pas une exigence explicite au titre de la LPRPDE, le document d’orientation intitulé Un programme de gestion de la protection de la vie privée : la clé de la responsabilité recommande aux organisations, à titre de « pratique exemplaire », d’élaborer un processus pour déterminer et atténuer les risques pour la vie privée et la sécurité avant le lancement d’un produit, ou avant que des changements importants ne soient apportés à un produit^{Note de bas de page 33}. La conception d’un programme de gestion de la protection de la vie privée en amont est un élément important. Nous considérons que cette pratique est particulièrement importante dans le contexte d’une organisation comme CoreFour, qui traite une si grande quantité de renseignements personnels potentiellement sensibles.

Formation sur la protection des renseignements personnels

132. L’intimé a reconnu qu’il n’avait pas donné de formation officielle sur la protection des renseignements personnels à son personnel et qu’il n’était pas en mesure de fournir de copies de documents de formation sur la protection des renseignements personnels. Toutefois, il a expliqué que tous les employés qui ont signé l’entente sur la protection des renseignements personnels ont été informés de la façon appropriée de traiter les renseignements sur les utilisateurs.

La politique de confidentialité d’Edsby

133. Le plaignant a soutenu que la politique de confidentialité de l’intimé interprétait mal les renseignements personnels, indiquait que l’intimé refusait d’accepter toute responsabilité à l’égard de la sécurité des renseignements personnels sous sa garde et qu'elle n’était pas claire au sujet de la communication de renseignements sur les utilisateurs avec d’autres personnes.
134. L’intimé a expliqué que la section 1 de sa politique de confidentialité décrit les types de renseignements qu’Edsby recueille et conserve au sujet d’un utilisateur : i) vos renseignements personnels, ii) le contenu que vous fournissez, et iii) les informations relatives à votre utilisation du site. L’intimé a déclaré qu’il voulait être transparent et donner aux utilisateurs un aperçu de l’information qu’il recueille. Il ne visait pas à confondre les utilisateurs ou à laisser entendre que les deux derniers types de renseignements cités ne constituent pas des renseignements personnels^{Note de bas de page 34}.
135. Nous avons examiné la politique de confidentialité et nous convenons que sa description des renseignements recueillis pourrait porter à confusion. En désignant le premier type comme « vos renseignements personnels », la politique sous-entend que les autres renseignements recueillis ne sont pas des renseignements personnels. Pourtant, certains éléments de données énumérés dans les deux derniers types^{Note de bas de page 35} seraient, à notre avis, considérés comme des renseignements personnels au sens de la LPRPDE. Nous recommandons à l’intimé de réviser le contenu de cette section pour éviter toute confusion.
136. Le plaignant a également exprimé des préoccupations au sujet de la présumée communication de renseignements sur les utilisateurs par l’intimé à des employés, à des consultants, à des entrepreneurs et à toute filiale ou société mère décrite à la section 2 de la politique^{Note de bas de page 36}. De plus, il a souligné le texte indiquant que l’intimé pourrait « […] transférer les informations que nous collectons et stockons et tous les droits associés comme un actif dans le cadre d’une fusion ou d’une vente […] impliquant tout ou partie de nos activités ou dans le cadre d’une réorganisation d’entreprise, vente d’actions ou autre changement de contrôle […] ».
137. Tout d’abord, nous constatons que l’intimé n’a pas de société mère ou de filiale. De plus, nous acceptons le fait qu’il est raisonnable pour l’intimé d’échanger des renseignements sur les utilisateurs d’Edsby avec ses employés autorisés, ses consultants et ses entrepreneurs afin de fournir un soutien technique aux clients d’Edsby et à leurs utilisateurs, sous réserve d’ententes contractuelles et de mesures de sécurité appropriées^{Note de bas de page 37}.
138. La politique de confidentialité stipule également clairement que l’intimé peut communiquer des renseignements sur les utilisateurs d’Edsby avec des fournisseurs de logiciels tiers. Nous avons observé que cette communication de renseignements n’est autorisée que sous la direction et l’approbation écrite d’un cadre supérieur autorisé du client d’Edsby concerné, qui a choisi un fournisseur pour l’aider à exécuter son mandat d’éducation.
139. Enfin, les paragraphes 7.2(1) et 7.2(2) de la LPRPDE permettent à une organisation d’utiliser ou de communiquer des renseignements personnels, à l’insu de l’intéressé ou sans son consentement, lorsqu’ils font partie d’une transaction commerciale éventuelle ou effectuée (sous réserve de certaines limites). Malgré cela, nous notons que les ententes contractuelles entre l’intimé et le conseil scolaire exigent qu’Edsby avise le conseil scolaire de toute proposition de transfert, et lorsque le conseil scolaire n’accepte pas le transfert, il peut demander que les renseignements sur les utilisateurs dans Edsby soient retournés ou détruits.
140. Le plaignant a affirmé que l’intimé a également refusé d’accepter toute responsabilité à l’égard de la sécurité des renseignements personnels sous sa garde dans la section 7 – Avis de non-responsabilité de la politique de confidentialité :

     « Aucune mesure de sécurité n’est parfaite. Nous ne pouvons garantir la sécurité des informations que vous nous fournissez ou que nous stockons en votre nom.

     Nous ne pouvons garantir que seules les personnes autorisées auront accès aux informations et au contenu que nous stockons et affichons à votre sujet. Nous ne sommes pas responsables des violations réelles ou perçues de notre sécurité causées par des tiers violant nos conditions d’utilisation. Par exemple, nos conditions d’utilisation stipulent qu’un utilisateur accepte de n’utiliser le service que pour accéder à son propre compte. Cependant, une “violation” de sécurité courante dans de nombreux systèmes informatiques se produit lorsqu’un utilisateur découvre le mot de passe d’un autre utilisateur et l’utilise pour accéder à un compte autre que le sien, en violation manifeste des conditions d’utilisation. » [Non souligné dans l’original]

141. L’intimé a expliqué qu’il ne refusait pas d’accepter sa responsabilité à l’égard de toute atteinte à la vie privée. Il a plutôt expliqué qu’il n’était pas responsable des atteintes à la vie privée causées par une personne qui violait les conditions d’utilisation d’Edsby.
142. Bien qu’une organisation ne puisse pas garantir de façon absolue la protection des renseignements personnels en sa possession ou sous son contrôle, la LPRPDE exige qu’une organisation ait mis en place des mesures de sécurité appropriées pour protéger les renseignements, qui sont proportionnelles à la sensibilité des renseignements personnels qu’elle détient. Par conséquent, nous recommandons que l’intimé révise cette section de la politique de confidentialité pour supprimer les références qui déclinent toute responsabilité à l’égard de l’ensemble des atteintes à la vie privée.

Responsabilité – recommandations

143. Compte tenu de l’absence d’un cadre de gestion de la protection de la vie privée, y compris de politiques et de procédures écrites sur la protection des renseignements personnels, et de l’absence de formation appropriée pour son personnel sur la protection des renseignements personnels, nous sommes d’avis que l’intimé a contrevenu au principe 4.1.4 de l’annexe 1 de la LPRPDE.
144. Par conséquent, nous recommandons que l’intimé élabore et adopte en priorité, mais dans tous les cas dans les six mois suivant la publication du présent rapport, un cadre de gestion de la protection de la vie privée, en plus du cadre de sécurité de l’information recommandé ci-dessus, conformément à ses obligations au titre de la LPRPDE. Nous recommandons que le cadre comprenne les éléments suivants :
     1. Élaboration et documentation de politiques et de pratiques en matière de protection des renseignements personnels pour donner suite aux principes, notamment en ce qui concerne : i) la gestion et la résolution des demandes de renseignements et des plaintes liées à la protection des renseignements personnels; et ii) la gestion, la conservation et la destruction des renseignements personnels détenus par l’entreprise.
     2. Adoption et documentation d’un programme de formation sur la protection des renseignements personnels qui veille à ce que toutes les personnes employées ou engagées par l’intimé soient informées des politiques et des pratiques de l’organisation et les comprennent. Cette formation devrait être offerte à la fois lorsque les personnes sont employées ou engagées pour la première fois et à intervalles réguliers par la suite.
145. Nous recommandons également que l’intimé aborde les questions suivantes en mettant à jour sa politique de confidentialité :
     1. Modifier la section 1 pour mieux expliquer les renseignements personnels qu’il recueille, utilise et conserve au sujet des utilisateurs d’Edsby et éviter toute confusion à ce sujet;
     2. Modifier la section 7 pour mieux expliquer qu’il ne décline pas toute responsabilité à l’égard de l’ensemble des atteintes à la vie privée qui pourraient survenir dans Edsby.
146. Enfin, nous demandons à l’intimé de fournir au Commissariat un rapport d’une tierce partie qualifiée et indépendante qui documente et confirme les mesures qu’il a prises pour mettre en œuvre les recommandations des paragraphes 144 et 145.
147. En plus des recommandations ci-dessus, nous encourageons également l’intimé, à titre de pratique exemplaire, à élaborer un processus d’évaluation des risques pour déterminer et atténuer les risques d’atteinte à la vie privée découlant du développement continu d’Edsby.

Réponse aux recommandations

148. CoreFour a accepté nos recommandations, telles qu'elles sont formulées aux paragraphes 92, 144 et 145, et s’est engagé à les mettre en œuvre dans le délai de 6 mois.

Réponses aux recommandations relatives aux mesures de sécurité

149. CoreFour a répondu qu’il y avait eu une avancée dans les travaux d’achèvement et de mise en œuvre d’un cadre de gestion de la sécurité de l’information; il a retenu les services d’une firme d’experts-conseils en sécurité de l’information en 2020, pour l’aider à se préparer à la certification ISO 27001. Il devrait être prêt pour la vérification externe relative à la certification ISO d’ici la fin de juin 2021.
150. CoreFour a déclaré que, dans le cadre de sa préparation à la certification ISO 27001, il affecterait suffisamment de ressources humaines de relève pour la sécurité des TI, en ajoutant du personnel dédié à des rôles cruciaux, y compris la sécurité de l’information, et qu’il définirait une séparation appropriée des responsabilités en matière de sécurité des TI.
151. CoreFour a également expliqué qu’il avait lancé un service intégré de balayage de maliciels à Edsby en 2020. Tous ses clients ont maintenant automatiquement activé cette fonction pour tous les téléchargements de fichiers externes.
152. Enfin, CoreFour a confirmé qu’il formerait son personnel sur les politiques, procédures et mesures de sécurité de l’information mises en place à l’appui des recommandations ci-dessus, dans le cadre du processus de certification ISO 27001.

Réponses aux recommandations en matière de responsabilité

153. CoreFour s’est engagé à mettre en œuvre un cadre de gestion de la protection de la vie privée, ce qui comprend l’élaboration et la documentation de politiques et de pratiques en matière de protection des renseignements personnels et l’élaboration d’un programme de formation interne sur la protection des renseignements personnels. CoreFour a déclaré que la mise en œuvre de ces recommandations était bien avancée dans le cadre de son processus de certification ISO.
154. CoreFour a également accepté d’apporter les changements recommandés à sa politique de confidentialité à la date limite convenue.
155. CoreFour a déclaré qu’il intégrerait également l’élaboration d’un processus d’évaluation des risques dans ses processus et procédures ISO 27001.

Rapport de conformité d’un tiers indépendant

156. Enfin, CoreFour a accepté de fournir au Commissariat une copie du rapport de vérification ISO, ainsi qu’un rapport d’un tiers indépendant qualifié, pour confirmer que les mesures mises en œuvre par CoreFour, y compris par l’intermédiaire du processus de certification ISO 27001, ont entièrement répondu à nos recommandations.

Conclusions

157. Par conséquent, nous estimons que les questions de mesures de sécurité et de responsabilité sont fondées et conditionnellement résolues, et que la question de la déclaration et de la notification d’atteinte n’est pas fondée.
158. Le Commissariat réitère son intérêt continu à s’assurer que CoreFour met en œuvre les mesures nécessaires pour se conformer pleinement à la Loi. À ce titre, nous suivrons de près les progrès de CoreFour dans la mise en œuvre de nos recommandations en matière de mesures de sécurité et de responsabilité.