Enquête portant sur une atteinte aux renseignements personnels détenus par un entrepreneur de l’Agence des services frontaliers du Canada

Le 20 mai 2022

Plainte en vertu de la Loi sur la protection des renseignements personnels (la Loi)

Description

Une attaque par rançongiciel a été perpétrée contre le réseau d’un entrepreneur qui fournit des services à l’Agence des services frontaliers du Canada (ASFC). Durant l’attaque, les auteurs malveillants ont accédé à des fichiers du réseau de l’entrepreneur, les ont copiés et retirés du réseau. Parmi ces fichiers se trouvaient des données de l’ASFC, dont des images de plaques d’immatriculation prises aux postes frontaliers canadiens. Bien que les auteurs malveillants aient pu avoir accès à environ 1,4 million d’images sur le réseau de l’entrepreneur, il a été confirmé que seul environ 11 000 d’entre elles ont été publiées sur le Web invisible. Notre enquête a révélé que le contrat entre l’ASFC et l’entrepreneur ne comprenait pas de clause relative aux mesures de sécurité, notamment à propos de la protection et de la conservation des renseignements personnels.

Points à retenir

Bien que certains renseignements personnels (par exemple, les dossiers médicaux et les renseignements sur les finances) soient presque toujours considérés comme sensibles, tous les renseignements personnels peuvent être sensibles, selon le contexte.
Cette enquête souligne l’importance de la collaboration entre les spécialistes des programmes, des contrats et de la protection de la vie privée pour déterminer si les renseignements recueillis dans le cadre de la prestation de programmes et de services sont considérés comme des renseignements personnels et pour élaborer des contrats comportant des clauses appropriées de protection de la vie privée.

Rapport de conclusions

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels

En juin 2019, le Commissariat à la protection de la vie privée du Canada a appris par les médias qu’une cyberattaque avait été perpétrée contre l’entrepreneur, un entrepreneur tiers établi aux États-Unis qui fournit des services à l’ASFC et à son homologue américain, la US Customs and Border Protection (CBP). Cette attaque a eu lieu en mai 2019 et a impliqué des auteurs malveillants qui ont transféré des fichiers du réseau de l’entrepreneur pour les diffuser sur le Web invisible^{Note de bas de page 1}.
Les premiers reportages médiatiques concernaient surtout les données provenant du CBP qui avaient été diffusées sur le Web invisible – des images de plaques d’immatriculation captées du côté américain du poste frontalier terrestre du pont Peace montrant clairement les visages des voyageurs. Le 12 juin 2019, les médias ont annoncé que l’ASFC avait lancé sa propre enquête. Selon un article de presse canadien, un porte-parole de l’ASFC avait alors déclaré que celle-ci examinait et évaluait les répercussions potentielles que cette atteinte pourrait avoir sur ses opérations et sur les Canadiens. Ce porte-parole avait aussi précisé que l’atteinte n’avait pas compromis la sécurité de l’ASFC ou rendu ses systèmes vulnérables.
Le 13 juin 2019, le Commissariat a communiqué avec des représentants de l’ASFC et a été informé qu’environ 9 000 photos de plaques d’immatriculation, prises lorsque des voyageurs sont entrés au Canada, avaient été compromises lors de cette atteinte. L’ASFC a déclaré que ces images avaient été captées au poste frontalier terrestre de Cornwall, en Ontario. Elles avaient été envoyées à l’entrepreneur à des fins de soutien technique.
L’ASFC a indiqué que la majorité des fichiers compromis lors de l’atteinte provenaient de la CBP. Elle a en outre précisé que tous les fichiers contenant des images faciales de voyageurs provenaient de l’agence américaine.
Le 5 juillet 2019, convaincu qu’il y avait des motifs raisonnables d’enquêter sur cette affaire, le commissaire à la protection de la vie privée du Canada a pris l’initiative d’une plainte contre l’ASFC en vertu du paragraphe 29(3) de la Loi.

Aperçu

Notre enquête visait à déterminer l’incidence de l’atteinte sur les voyageurs entrant au Canada, et à évaluer les mesures prises par l’Agence pour garantir que les mesures de sécurité étaient adéquates pour s’acquitter de ses obligations en vertu de la Loi.
Notre enquête a révélé ce qui suit :
1. L’ASFC a considéré et géré de manière incohérente les renseignements issus des plaques d’immatriculation en tant que renseignements personnels;
2. En l’occurrence, les fichiers d’images de plaques d’immatriculation contenaient des métadonnées telles que la province ou l’État émetteur de la plaque, les caractères de la plaque, la date et l’heure de prise de la photo et le code numérique identifiant le poste frontalier ainsi que le numéro de voie;
3. Le nombre de fichiers d’images de plaques d’immatriculation de l’ASFC qui ont été compromis lors de l’atteinte pourrait totaliser 1 385 198, soit un nombre beaucoup plus élevé que ce qui avait été indiqué au départ;
4. Les mesures de sécurité étaient insuffisantes, y compris les clauses contractuelles visant à protéger les renseignements personnels.
À l’issue de notre enquête, nous avons conclu que la plainte était fondée, l’ASFC ayant contrevenu aux dispositions de la Loi qui portent sur la communication des renseignements. Le Commissariat a également formulé des recommandations (voir le paragraphe 54) à l’intention de l’ASFC afin de renforcer ses pratiques de gestion des renseignements personnels à cet égard. Compte tenu de la réponse de l’ASFC à notre enquête et du fait qu’elle a accepté nos recommandations, nous avons considéré que la plainte était résolue.

Portée de l’enquête et méthodologie

L’enquête a examiné si les fichiers d’images de plaques d’immatriculation captées par l’ASFC lors du passage de voyageurs aux frontières terrestres constituaient des renseignements personnels au sens de l’article 3 de la Loi. Après avoir conclu que dans ce contexte, les fichiers, qui comprenaient des métadonnées indiquant la date, l’heure et le lieu de passage à la frontière, constituaient effectivement des renseignements personnels pour certaines personnes, nous avons ensuite examiné si l’ASFC avait contrevenu aux dispositions relatives à la communication des renseignements prévues à l’article 8 de la Loi.
Pour ce faire, nous avons pris en considération les renseignements obtenus des sources suivantes :
- les entrevues que nous avons effectuées avec des représentants de l’ASFC et de l’entrepreneur;
- les observations écrites et les rapports que le Bureau de l’accès à l’information et la protection des renseignements personnels de l’ASFC a soumis au Commissariat, y compris le contrat de l’entrepreneur qui était en vigueur au moment de l’atteinte;
- un échantillon représentatif d’images de plaques d’immatriculation et de noms de fichiers correspondants (métadonnées) que l’ASFC a fourni au Commissariat;
- les observations écrites de l’entrepreneur, y compris le résumé du rapport d’enquête criminalistique de l’entreprise, les rapports de découverte de données criminalistiques sensibles ainsi que les contrats actuels et antérieurs entre les parties;
- des sources ouvertes (comme les reportages médiatiques sur l’atteinte, dont une entrevue donnée par le PDG de l’entrepreneur en août 2019).
Au cours de notre enquête, nous avons découvert que les images de plaques d’immatriculation diffusées sur le Web invisible semblaient remonter à plus de 10 ans. Compte tenu de l’incidence de ce facteur, nous avons aussi examiné les dispositions relatives à la conservation des données dans le contrat de l’entrepreneur afin de déterminer si ces dispositions ont été ou non respectées par les parties.

Relation entre l’ASFC et l’entrepreneur

L’entrepreneur est un fournisseur de produits de reconnaissance de plaques d’immatriculation et fait affaire avec le gouvernement du Canada depuis 2003.
Le contrat qui était en vigueur au moment de l’atteinte était daté du 15 juillet 2015 et portait sur l’achat, l’installation et le soutien des nouvelles composantes matérielles et logicielles des lecteurs de plaques d’immatriculation (LPI) qui sont utilisés aux postes frontaliers. L’ASFC a obtenu les images des plaques d’immatriculation et les métadonnées connexes directement des LPI dans le cadre de ses activités de sécurité, de renseignement et de contrôle des entrées et sorties à la frontière. Le contrat de l’entrepreneur énonce les attentes relatives à la performance des LPI, et prévoit notamment que l’image prise de la plaque d’immatriculation doit capter clairement et lire avec exactitude les caractères de la plaque et le nom de la province ou de l’État émetteur à un seuil d’exactitude de 98 %. L’ASFC envoie donc des fichiers d’images brutes de plaques d’immatriculation (et les métadonnées connexes) à l’entrepreneur sur une base mensuelle (500 fichiers) et trimestrielle, ainsi que des images prises par tout équipement nouvellement installé pour analyse aux fins d’assurance de la qualité.
L’ASFC a déclaré ne fournir à l’entrepreneur aucun autre renseignement sur les voyageurs (ni nom ni autres renseignements identificateurs) et que les images brutes étaient transmises de manière sécuritaire entre les parties. Sur ce dernier point, nous avons formulé des observations et des recommandations supplémentaires à la conclusion du présent rapport afin de sécuriser davantage la transmission des images (voir les paragraphes 56 à 59).

Événements ayant mené à l’atteinte et mesures de suivi

Selon les enquêteurs en criminalistique de l’entrepreneur, des individus malveillants ont accédé aux systèmes de l’entreprise par un serveur déclassé et non corrigé. L’entrepreneur a pris connaissance d’un incident mettant en cause ses systèmes pour la première fois le 13 mai 2019, lorsque son PDG a reçu un courriel exigeant le paiement d’une rançon. Dans les premiers jours qui ont suivi, l’entrepreneur a cherché à vérifier la validité de la menace.
Le 21 mai 2019, soit deux jours avant la diffusion des fichiers d’images sur le Web invisible, l’ASFC a été alertée du fait que l’entrepreneur avait été la cible d’une cyberattaque. L’ASFC a indiqué qu’elle avait immédiatement consulté les architectes et concepteurs des systèmes et les équipes de soutien pour déterminer la nature et la sensibilité des éléments compromis. Entre mai et juillet 2019, l’Agence a maintenu un contact régulier avec l’entrepreneur pendant que l’analyse criminalistique avait cours. Les discussions portaient en particulier sur le dénombrement des images issues des LPI et sur la question de savoir s’il y avait des renseignements associés aux images qui pourraient être liés à des personnes (voyageurs). L’ASFC a confirmé que l’entrepreneur n’avait reçu aucun des renseignements qu’elle recueille sur les voyageurs outre les fichiers d’images de plaques d’immatriculation et les métadonnées connexes.
Immédiatement après l’atteinte, l’ASFC a cessé d’envoyer des fichiers d’images de plaques d’immatriculation à l’entrepreneur. Elle a modifié son contrat avec l’entreprise le 24 février 2020 et a recommencé à lui envoyer des fichiers d’images de plaques d’immatriculation en septembre 2020, après avoir testé et certifié qu’une nouvelle version de la solution du protocole de transfert de fichiers (FTP) était compatible avec les améliorations de sécurité mises en œuvre par l’entrepreneur.
Après l’atteinte, l’entrepreneur a mis en place plusieurs mesures pour se conformer à un cadre de sécurité de l’information reconnu à l’échelle internationale, par exemple :
- il a nettoyé tous les supports des ordinateurs et des serveurs et transféré toutes les données sensibles et restreintes vers un système infonuagique sécurisé de gestion de l’information;
- il a fourni à l’ASFC la preuve que les fichiers compromis lors de l’atteinte avaient été supprimés de façon permanente en date du 27 juin 2019;
- il a amélioré la sécurité de son réseau en surveillant continuellement les menaces au moyen de diverses solutions de sécurité techniques qui communiquent les alarmes et les événements en temps réel à un service externe de surveillance de la cybersécurité.

Renseignements mis en cause dans l’atteinte

L’enquête en criminalistique de l’entrepreneur a révélé qu’au moment de l’atteinte, il y avait 1 385 198 fichiers d’images de plaques d’immatriculation de l’ASFC, y compris des doublons, dans les systèmes de l’entreprise. Elle a également révélé que des individus malveillants ont accédé à au moins 26 systèmes sur le réseau de l’entrepreneur et qu’ils ont accédé au réseau 199 fois entre le 26 février et le 19 mai 2019. Les individus malveillants ont également dissimulé une partie de leurs activités dans le réseau; par conséquent, les enquêteurs en criminalistique n’ont pas pu déterminer de façon concluante l’étendue de l’information exfiltrée en dehors de celle qui a été trouvée sur le Web invisible.
L’ASFC a initialement déclaré que 9 000 images de plaques d’immatriculation avaient été compromises lors de l’atteinte, nombre révisé plus tard à 10 734, car elle a tenu compte seulement des fichiers dont la divulgation sur le Web invisible avait été confirmée. Elle a ajouté qu’après l’analyse effectuée par l’entrepreneur pour supprimer les doublons, le nombre de plaques uniques effectivement divulguées sur le Web invisible s’établissait à 3 492. Ces fichiers d’images proviennent du dossier d’un ancien employé de l’entrepreneur qui assumait des fonctions de vérification sur le terrain^{Note de bas de page 2} et dont le contenu de l’ordinateur avait été sauvegardé sur le réseau après son départ de l’entreprise. Tous ces fichiers d’images datent de 2008 et ont été pris au poste frontalier de Cornwall.
De plus, les enquêteurs en criminalistique ont déterminé que 423 autres fichiers d’images de plaques d’immatriculation de l’ASFC joints à des courriels internes de l’entrepreneur avaient aussi été exfiltrés depuis le serveur de courriel de l’entreprise et diffusés sur le Web invisible. Ces fichiers d’images de plaques d’immatriculation provenaient de divers postes frontaliers au Canada.
Notre enquête a confirmé que deux lots de fichiers d’images de plaques d’immatriculation de l’ASFC avaient été exfiltrés (ceux mentionnés aux paragraphes 20 et 21). Toutefois, compte tenu de la fréquence et de l’ampleur de l’infiltration des auteurs malveillants dans le réseau et les systèmes de l’entrepreneur, nous avons intégré dans le calcul l’ensemble des 1 385 198 fichiers d’images qui se trouvaient dans les systèmes de l’entrepreneur qui ont été consultés et compromis, qu’ils aient ou non été copiés et/ou diffusés en totalité sur le Web invisible.

Application de la Loi

Nous avons fondé notre analyse sur les articles 3 et 8 de la Loi.

Les plaques d’immatriculation sont-elles des renseignements personnels dans ce contexte?

L’article 3 de la Loi définit les renseignements personnels comme des renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment : les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge, à sa situation de famille, à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels, à des opérations financières, à tout numéro ou toute autre indication identificatrice qui lui est propre, à ses empreintes digitales, à son groupe sanguin ou à ses opinions personnelles.
Notre examen des échantillons de fichiers d’images qui nous ont été fournis par l’ASFC a révélé ce qui suit :
1. les images représentaient la vue arrière du véhicule, la marque et le modèle étant visibles pour la majorité des véhicules, la province ou l’État émetteur de la plaque d’immatriculation, les caractères de la plaque, et s’il s’agit d’un véhicule personnel ou d’affaires (par exemple, lorsqu’une camionnette a un numéro sur le panneau arrière qui identifie celle-ci comme faisant partie d’un parc de véhicules);
2. dans le cas des plaques comportant des éléments graphiques et/ou des caractères personnalisés, ceux-ci étaient clairement visibles sur les images;
3. aucun des occupants des véhicules n’était manifestement visible dans les images fournies par l’ASFC;
4. les fichiers d’images de plaques d’immatriculation contenaient des métadonnées, notamment : la province ou l’État émetteur de la plaque d’immatriculation, les caractères de la plaque, la date et l’heure de la prise de l’image et le code numérique représentant le poste frontalier et le numéro de voie.

Observations de l’ASFC

L’ASFC a fait valoir que les renseignements figurant sur une plaque d’immatriculation ne constituent pas des renseignements personnels au sens de l’article 3 de la Loi. Elle a cité dans ses observations l’extrait suivant de l’arrêt Leon’s Furniture Limited c. Alberta (Commissaire à l’information et à la vie privée), 2 011 ABCA 94 :

[TRADUCTION] Au sens de l’article 3, les renseignements personnels sont généralement définis comme tout renseignement concernant un individu identifiable. La Cour d’appel de l’Alberta a conclu que la plaque d’immatriculation ne correspondait pas à cette définition, puisqu’elle identifiait le véhicule et que « le numéro est simplement un conduit pour accéder à d’autres renseignements personnels au sujet de son propriétaire qui ne sont pas publics ».
L’ASFC a soutenu que seuls les numéros de plaque d’immatriculation avaient été compromis lors de l’atteinte et qu’aucun autre renseignement sur les voyageurs, sous quelque forme que ce soit, n’était associé aux numéros de plaque. Elle a en outre affirmé que les renseignements indiqués sur une plaque d’immatriculation ne pouvaient identifier que le propriétaire du véhicule – et non le conducteur ou les passagers – au moment où l’image de la plaque d’immatriculation a été prise, et que pour identifier le propriétaire, il faudrait chercher les caractères de la plaque dans la base de données des véhicules immatriculés dans la province ou l’État.
L’ASFC a également fait valoir que la Cour suprême du Canada avait indiqué que le degré de protection de la vie privée auquel il faut s’attendre à la frontière est plus faible que dans la plupart des autres situations, et que les voyageurs qui franchissent des frontières doivent s’attendre à être assujettis au processus de contrôle décrit dans R. c. Simmons, [1988] 2 R.C.S. 495. La question soulevée dans cet arrêt était de savoir si les droits de l’appelante garantis par la Charte avaient été violés lorsqu’elle a été soumise à une fouille manuelle, mais pas le droit de consulter un avocat.

La position du Commissariat

Nous considérons que l’affaire Leon’s est différente de ce cas de figure et peut être écartée en tant que précédent. Plus précisément, nous sommes d’avis que les fichiers d’images de plaques d’immatriculation constituent des renseignements personnels pour certaines personnes dans ce contexte particulier pour les raisons suivantes :
- Les plaques d’immatriculation ont été exposées dans le contexte d’un passage à la frontière, révélant que le véhicule du propriétaire enregistré (et peut-être le propriétaire lui-même s’il était alors au volant) a franchi tel point d’entrée à telle date et à telle heure. Dans le cas qui nous intéresse, les fichiers d’images de plaques d’immatriculation contenaient des métadonnées, notamment : la province ou l’État émetteur de la plaque, les caractères de la plaque, la date et l’heure de la prise de l’image et le code numérique représentant le poste frontalier et le numéro de voie.
- Certaines provinces comme l’Ontario offrent au public un service permettant de chercher un numéro de plaque dans les bases de données du gouvernement pour obtenir le nom du propriétaire enregistré d’un véhicule.
- Les plaques d’immatriculation personnalisées ou comportant des éléments graphiques peuvent révéler des renseignements sur la personne qui a commandé la plaque, comme le nom de famille, l’affiliation à un certain groupe et la province ou l’État de résidence.
De plus, nos homologues provinciaux de l’Ontario^{Note de bas de page 3}, de la Colombie-Britannique^{Note de bas de page 4}, de la Nouvelle-Écosse^{Note de bas de page 5}, de l’Île-du-Prince-Édouard (Î.-P.-É.)^{Note de bas de page 6} et du Québec^{Note de bas de page 7} ont conclu que les numéros d’immatriculation peuvent être considérés comme des renseignements personnels au sens de leurs lois respectives sur la protection des renseignements personnels. Nous notons toutefois que notre homologue de la Saskatchewan a conclu le contraire. Dans cette province, la législation en matière de protection des renseignements personnels exclut expressément les détails d’une licence, d’un permis ou d’un autre avantage facultatif semblable accordé à une personne par une institution gouvernementale de la définition de « renseignements personnels »^{Note de bas de page 8}.
La position de l’Î.-P.-É. est particulièrement édifiante. La commissaire à la protection de la vie privée de l’Île-du-Prince-Édouard a déclaré : [TRADUCTION] « Je suis également convaincue que les renseignements que le Service de police de Charlottetown recueille au moyen des lecteurs automatiques de plaques d’immatriculation, y compris la position GPS et la date et l’heure de prise de l’image, sont des renseignements personnels du propriétaire du véhicule. »
De plus, et malgré la position énoncée plus haut, l’ASFC a reconnu qu’elle utilise les plaques d’immatriculation pour identifier les véhicules et les voyageurs recherchés par les forces de l’ordre ou aux fins d’immigration, ce qui indique que les renseignements contenus sur les plaques d’immatriculation sont utilisés comme des identificateurs personnels. Selon le fichier de renseignements personnels de l’ASFC − Traitement des voyageurs (ASFC PPU 1101), les renseignements sur les plaques d’immatriculation des véhicules de tourisme sont recueillis aux postes frontaliers terrestres, ainsi que d’autres renseignements personnels, afin de créer « un historique des passages et [de permettre] à l’ASFC de lancer des requêtes en temps réel visant des mesures d’application de la loi et des avis de surveillance. »
Enfin, le Commissariat a examiné l’argument de l’ASFC concernant l’arrêt R. c. Simmons. Cette jurisprudence porte sur le degré de protection des renseignements personnels auquel les voyageurs peuvent s’attendre à la frontière. Il ne fait aucun doute que le degré de protection des renseignements personnels est moindre pour les voyageurs qui entrent au Canada, ce qui permet à l’ASFC de recueillir les images des plaques d’immatriculation et les métadonnées des véhicules des voyageurs lorsqu’ils traversent la frontière. Toutefois, ce seuil inférieur ne signifie pas que les renseignements ne sont plus personnels. Cela n’abaisse pas non plus le niveau des mesures de protection des renseignements personnels qui doivent être prises pour empêcher que les fichiers d’images des plaques d’immatriculation soient utilisés de façon inappropriée à l’extérieur du contexte frontalier. Il est donc raisonnable que les voyageurs puissent s’attendre à ce que les renseignements personnels recueillis par l’ASFC soient protégés contre les accès et les communications non autorisés.
Selon notre évaluation de la totalité des renseignements qui ont été compromis lors de l’atteinte, y compris les métadonnées, et selon notre analyse de ce qu’ont conclu nos homologues pancanadiens au sujet des images de plaques d’immatriculation dans des circonstances semblables, nous avons conclu que ces informations sont des renseignements personnels pour certaines personnes dans ce contexte particulier.

Les renseignements personnels en cause ont-ils été communiqués de manière inappropriée?

La Loi prévoit que les renseignements personnels ne peuvent être communiqués qu’avec le consentement de la personne concernée – paragraphe 8(1) – ou conformément à l’un des cas d’autorisation énumérés au paragraphe 8(2) de la Loi.
Comme il a été mentionné ci-dessus, les fichiers d’images de plaques d’immatriculation et les renseignements connexes ont été recueillis afin d’appuyer les activités de traitement des voyageurs de l’ASFC. L’entrepreneur a avisé l’ASFC qu’elle avait été la cible d’une cyberattaque et que des renseignements contenus dans ses systèmes avaient été consultés de manière inappropriée et diffusés sur le Web invisible. Par conséquent, nous avons conclu qu’aucun des cas d’autorisation prévus par la Loi ne s’appliquait en l’occurrence.

Les mesures de sécurité étaient-elles adéquates?

Après avoir déterminé que la divulgation n’était pas autorisée, le Commissariat s’est demandé si l’ASFC avait pris des mesures adéquates pour garantir la protection des renseignements personnels. Pour répondre à cette question, nous avons examiné le document d’orientation du Secrétariat du Conseil du Trésor (« SCT ») : Prise en compte de la protection des renseignements personnels avant de conclure un marché^{Note de bas de page 9}, qui « vise à fournir des conseils aux institutions fédérales lorsqu’elles songent à confier à la sous-traitance des activités dans le cadre desquelles des renseignements personnels portant sur des Canadiens et des Canadiennes sont traités par des organismes du secteur privé liés par contrat ou auxquels ces derniers ont accès », y compris lorsque le sous-traitant est un fournisseur situé aux États-Unis. Il est précisé que ces conseils doivent être lus de concert avec les autres politiques et procédures gouvernementales en matière d’approvisionnement. Lorsque des renseignements personnels peuvent être traités aux termes d’un marché, le document d’orientation indique que « les institutions devraient envisager d’inclure des clauses suffisantes pour protéger les renseignements personnels en tant que responsabilité partagée ». Bien que cette indication ne soit pas contraignante, elle constitue à notre avis une bonne pratique de gestion des renseignements personnels.
Bien que l’ASFC soit autorisée à passer des marchés avec des entreprises du secteur privé, y compris des entreprises américaines comme l’entrepreneur, tout renseignement personnel recueilli, utilisé, communiqué ou autrement traité par l’entrepreneur pour le compte de l’ASFC est considéré comme étant sous le contrôle de cette dernière. Par conséquent, il incombe à l’ASFC^{Note de bas de page 10} de veiller à ce que les renseignements personnels communiqués à ses sous-traitants soient adéquatement protégés, y compris contre la communication inappropriée, conformément aux obligations de l’ASFC en matière de protection des renseignements personnels qui sont prévus par la Loi et les instruments de politique pertinents du SCT.

Contrat

Lorsqu’on lui a demandé un exemplaire du contrat de l’entrepreneur, l’ASFC a produit un contrat daté de 2015 – celui qui était en vigueur au moment de l’atteinte – avec des annexes, qui comprenaient l’énoncé des travaux et la liste de vérification des exigences relatives à la sécurité. Nous avons examiné le contrat et ses annexes pour déterminer si, au moment de l’atteinte, des dispositions contractuelles suffisantes étaient en vigueur pour assurer la protection des renseignements personnels.

Exigences en matière de sécurité

Notre examen a révélé que le contrat et ses annexes ne comportaient aucune clause concernant spécifiquement la protection des renseignements personnels ou les attentes de l’ASFC en matière de cybersécurité et/ou de normes de sécurité de l’information reconnues à l’échelle internationale ou autre en ce qui concerne la protection des biens informatiques de l’Agence détenus par l’entrepreneur. Toutefois, il contenait une clause permettant au ministère alors appelé Travaux publics et Services gouvernementaux Canada (TPSGC)^{Note de bas de page 11}, à titre d’autorité contractante, d’effectuer des visites pour vérifier la conformité aux mesures de sécurité énoncées dans le contrat. Notre enquête n’a révélé aucune donnée indiquant que les exigences en matière de sécurité auraient été plus amplement abordées entre les parties. De plus, le Commissariat a confirmé auprès de l’ASFC qu’aucune visite de vérification n’avait été effectuée, même après l’atteinte.
L’énoncé des travaux comportait certaines clauses limitées restreignant l’utilisation par l’entrepreneur de l’information capturée par la technologie de LPI. Ces clauses prévoyaient notamment que :
1. Toutes les données capturées par la technologie LPI étaient la propriété de l’ASFC, qu’elles ne devaient être communiquées en tout ou partie à aucune personne ou organisation, et qu’elles ne pouvaient pas être conservées à des fins autres que pour offrir un soutien à l’ASFC;
2. L’entrepreneur ne devait pas conserver de façon permanente des renseignements confidentiels ou permettant d’identifier des personnes.
Nous avons examiné la liste de vérification des exigences relatives à la sécurité qui avait été remplie et annexée au contrat. La liste de vérification indiquait que l’entrepreneur n’aurait pas besoin d’accéder à des renseignements ou à des biens protégés ou classifiés, et qu’elle ne conserverait pas de tels renseignements sur son site ou dans ses locaux. Néanmoins, le contrat contenait des dispositions prévoyant que l’entrepreneur devait signaler immédiatement tout incident où des renseignements ou des biens protégés de l’ASFC auraient été compromis, qu’ils aient été perdus ou communiqués à des personnes non autorisées.
Comme nous l’avons indiqué plus haut, le Commissariat est d’avis que les fichiers d’images de plaques d’immatriculation qui comprennent des métadonnées sont des renseignements personnels pour certaines personnes dans le contexte particulier qui nous intéresse. Selon les niveaux de sécurité applicables aux renseignements et aux biens du gouvernement du Canada, les renseignements personnels sont des renseignements protégés^{Note de bas de page 12}. La divergence entre ce que prévoyait le contrat et la façon dont les images des plaques d’immatriculation ont été traitées a amené le Commissariat à se demander si l’ASFC avait évalué avec suffisamment de soin le niveau de sécurité des fichiers d’images de plaques d’immatriculation avec métadonnées.

Conservation

Lorsque nous avons appris que les fichiers d’images provenant du poste frontalier de Cornwall, en Ontario, qui ont été diffusés sur le Web invisible dataient de 2008, nous nous sommes penchés sur la question de la conservation des fichiers. Les fichiers d’images de plaques d’immatriculation de l’ASFC trouvés sur le Web invisible provenaient d’une sauvegarde de l’ordinateur d’un ancien employé. Ces fichiers sauvegardés dataient d’au moins 11 ans.
Le contrat de l’entrepreneur comprenait une clause stipulant que la solution de l’entrepreneur ne devait pas stocker de façon permanente des renseignements confidentiels ou permettant d’identifier des personnes. Au moment de l’atteinte, les systèmes de l’entrepreneur contenaient un peu moins de 1,4 million de fichiers d’images de plaques d’immatriculation provenant des divers postes frontaliers du Canada. Bien que le Commissariat n’ait pas reçu la plage des dates de tous les fichiers d’images de plaques d’immatriculation qui se trouvaient sur le réseau de l’entreprise au moment de l’atteinte, les représentants de l’entrepreneur ont indiqué que la majorité des fichiers provenaient du contrat alors en vigueur et qu’ils croyaient à ce moment-là qu’ils pouvaient conserver les images des plaques d’immatriculation pendant toute la durée du contrat.
Lorsqu’on lui a posé la question, l’ASFC a indiqué qu’elle conservait les fichiers d’images de plaques d’immatriculation durant une période de « six ans plus l’année en cours ». Étant donné que l’ASFC a une période de conservation précise pour les fichiers d’images de plaques d’immatriculation, on pourrait s’attendre tout au moins à ce que le contrat stipule une période de conservation comparable.
À notre avis, les documents contractuels n’étaient pas à la hauteur des mesures de protection des renseignements personnels attendues par le Commissariat lorsque des institutions fédérales concluent des contrats qui concernent de tels renseignements avec des tiers. Nous nous attendions à voir des dispositions exigeant des tiers : (i) qu’ils se conforment aux instruments de politique du SCT en matière de sécurité et de protection des renseignements personnels, (ii) qu’ils intègrent des cadres/normes de sécurité de l’information reconnus à l’échelle internationale et (iii) qu’ils souscrivent à des directives plus claires en ce qui concerne la conservation des renseignements personnels.

Modification du contrat après l’atteinte

Malgré qu’elle affirme que les plaques d’immatriculation n’étaient pas des renseignements personnels, l’ASFC a modifié certains passages du contrat de l’entrepreneur après l’atteinte. D’après notre examen du contrat modifié, l’ASFC a révisé l’énoncé des travaux pour y inclure une clause prévoyant que l’entrepreneur doit démontrer que son programme de sécurité de l’information (qui comprend les normes de cybersécurité) est conforme aux cadres de sécurité de l’information reconnus à l’échelle internationale qui sont énumérés dans l’amendement. L’énoncé de travail modifié comprenait également une clause limitant strictement la durée de conservation des images des plaques d’immatriculation. La modification exigeait aussi que l’entrepreneur supprime les images de plaques d’immatriculation provenant de l’ASFC trois (3) mois après leur traitement.

Bilan

L’ASFC a déclaré qu’elle ne considérait pas les images de plaques d’immatriculation comme des renseignements personnels. Dans son évaluation de l’information qui a été compromise lors de l’atteinte, l’ASFC n’a tenu compte d’aucune considération en lien avec les caractères des plaques d’immatriculation et les métadonnées connexes, qui révèlent l’heure, la date et la localisation. Nous avons également noté que l’ASFC reconnaît expressément les plaques d’immatriculation comme des renseignements personnels dans son Fichier de renseignements personnels, mais soutient le contraire dans ses observations dans le cadre de notre enquête.
Notre enquête nous a aussi permis de conclure que les fichiers d’images de plaques d’immatriculation compromis lors de l’atteinte révèlent plus de renseignements sur le propriétaire enregistré et son véhicule, en comparaison avec ce que révéleraient les caractères de la plaque tous seuls. Dans ce contexte, les fichiers d’images de plaques d’immatriculation et leurs métadonnées constituent pour certaines personnes des renseignements personnels au sens de l’article 3 de la Loi.
De plus, notre évaluation montre que le contrat de l’entrepreneur comportait des lacunes en ce qui concerne les mesures de protection et la conservation des documents. À cause des actions d’individus malveillants, près de 1,4 million d’images de plaques d’immatriculation de l’ASFC ont été consultées de façon inappropriée, et deux lots de données (mentionnés aux paragraphes 20 et 21) ont été confirmés comme ayant été diffusés sur le Web invisible. L’ampleur de l’atteinte, à savoir le grand nombre d’images touchées, a été exacerbée du fait que le contrat original ne précisait pas combien de temps les images pouvaient être conservées.

Conclusion

Compte tenu de ce qui précède, nous avons conclu que la plainte était fondée et résolue.

Recommandations

L’enquête a révélé une importante question, à savoir ce qui fait que des renseignements sont considérés ou non comme des renseignements personnels. Cette question doit être examinée en contexte et en combinaison avec d’autres éléments de données.
Dans notre rapport d’enquête préliminaire, nous avons fait les recommandations suivantes à l’ASFC. Plus spécifiquement que l’Agence :
1. révise entièrement le contrat actuel de l’entrepreneur, qu’elle précise clairement dans les contrats futurs que les fichiers d’images de plaques d’immatriculation constituent des renseignements personnels, et qu’elle intègre dorénavant aux contrats des clauses appropriées pour protéger les renseignements personnels, y compris notamment en ce qui concerne leur conservation, utilisation, accès et destruction;
2. exige de l’entrepreneur la garantie et la confirmation que les données reçues il y a plus de trois (3) mois ont été détruites, comme l’exige le contrat modifié;
3. démontre, au moyen d’un audit ou d’une vérification de l’entrepreneur, que ses biens (renseignements personnels) sont gérés conformément aux conditions du contrat modifié tel que recommandé au paragraphe 54 a);
4. démontre au Commissariat, dans un délai de six (6) mois, qu’elle a implémenté les recommandations 54 a) et 54 b) et, dans un délai d’un (1) an, la recommandation 54 c).
Le 24 mars 2022, l’ASFC a informé le Commissariat qu’elle adoptera nos recommandations. Étant donné que le contrat actuel arrive à échéance, elle intégrera les recommandations dans sa prochaine demande de propositions et ses prochains contrats.

Observations et recommandations supplémentaires

Au cours de notre enquête, nous avons constaté certaines vulnérabilités techniques, que nous avons signalées à l’ASFC dans l’optique d’améliorer son niveau de sécurité lors du transfert de renseignements personnels à son sous-traitant. Bien que nous ayons reconnu que ces vulnérabilités n’ont pas contribué à l’atteinte, nous avons néanmoins encouragé l’ASFC à y remédier, comme il est suggéré ci-dessous.
Il n’y avait pas de tunnel RPV^{Note de bas de page 13} direct entre les systèmes de l’ASFC et ceux de l’entrepreneur. Même si les fichiers d’images étaient dans un format compressé et chiffré, la transmission s’effectuait sur le réseau ouvert, Internet, et non au moyen d’un tunnel RPV dédié reliant les deux systèmes, ce qui augmentait le risque de compromission. Nous avons conseillé à l’ASFC de mettre en place un tel tunnel RPV pour éviter que des tiers non autorisés puissent intercepter les fichiers lors de leur transmission.
Dans ses observations, l’ASFC a mentionné qu’elle utilisait un logiciel FTP pour transmettre les fichiers d’image à l’entrepreneur. Or, le logiciel utilisé est un logiciel gratuit/contributif utilisé principalement pour un usage personnel. Bien que ce logiciel soit mis à jour et maintenu régulièrement, la transmission de données sensibles devrait s’effectuer au moyen d’une solution commerciale et professionnelle.
Au cours de l’enquête, l’ASFC a également indiqué qu’elle avait téléversé les fichiers d’images des plaques d’immatriculation sur un serveur FTP sécurisé. Si ce n’est pas déjà le cas, nous recommandons à l’Agence d’utiliser le protocole de transfert de fichiers SSH (« SFTP ») ou FTP Secure/TLS, selon les paramètres applicables, afin d’assurer le niveau de chiffrement approprié lors du transfert de fichiers à l’entrepreneur.
En réponse aux observations supplémentaires ci-dessus, l’Agence a indiqué qu’elle préciserait dorénavant dans ses contrats que le matériel et le logiciel utilisés pour le transfert sécurisé d’information sur des plaques d’immatriculation devraient être conformes à au moins un cadre de sécurité de l’information mentionné dans le contrat. Le Commissariat est convaincu qu’il s’agit là d’une solution adéquate.

Notes de bas de page

Note de bas de page 1

Réseaux qui nécessitent des logiciels, des configurations ou des autorisations d’accès particuliers et qui sont bien connus pour contenir des fichiers volés sur les réseaux électroniques de diverses organisations qui comprennent des renseignements personnels de particuliers.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

La vérification sur le terrain consiste en l’examen et en l’analyse par un humain des images de plaques d’immatriculation. L’entrepreneur effectue cette vérification dans le cadre des services de soutien et de maintenance qu’elle offre aux utilisateurs de la solution de LPI.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Corporation of the City of Oshawa (Re), 2020 CanLII 12689 (ON IPC) au paragraphe 27; Ontario (Transportation) (Re), 2014 CanLII 67065 (ON IPC) au paragraphe 23; Enquête sur la protection des renseignements personnels : Utilisation par le Service de police de Toronto de la technologie mobile de reconnaissance des plaques d’immatriculation pour retrouver des véhicules volés (2003-04-29), dossier n^o MC-030023-1. Voir également l’ordonnance M-336 : Metropolitan Toronto Police Services Board (Re), 1994 CanLII 6755 (ON IPC); ordonnance MO-1863 : Toronto Police Services Board (Re), 2004 CanLII 56304 (ON IPC). Voir aussi le document d’orientation du Commissariat à l’information et à la protection de la vie privée de l’Ontario intitulé Guidance on the Use of the Automated Licence Plate Recognition Systems by Police Services (juillet 2017) à la page 3 (liens en anglais seulement).

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Service de police de Victoria (Re), 2012 BCIPC 23 (CanLII) (en anglais seulement).

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Municipalité régionale d’Halifax (Re), 2015 CanLII 54096 (NS FOIPOP), au paragraphe 33 (en anglais seulement).

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Charlottetown (City) (Re), 2020 CanLII 43896 (PE IPC) (en anglais seulement), aux paragraphes 27 à 28.

Retour à la référence de la note de bas de page 6

Note de bas de page 7

Tanguay c. Société de l’assurance automobile du Québec, 2018 QCCAI 274 (CanLII); Y.D. c. Société de l’assurance automobile du Québec (SAAQ), 2009 QCCAI 226 (CanLII); Bellmarre c. Société de l’assurance automobile du Québec, [1996] C.A.I. 269.

Retour à la référence de la note de bas de page 7

Note de bas de page 8

Saskatchewan Government Insurance (Re), 2019 CanLII 53766 (SK IPC) (en anglais seulement). Voir aussi Saskatchewan Government Insurance (Re), 2 018 CanLII 77689 (SK IPC), Freedom of Information and Protection of Privacy Act de la Saskatchewan et Shook Legal, Ltd v Saskatchewan (Government Insurance), 2 018 SKQB 238, aux paragraphes 33 à 35.

Retour à la référence de la note de bas de page 8

Note de bas de page 9

Document d'orientation : Prise en compte de la protection des renseignements personnels avant de conclure un marché

Retour à la référence de la note de bas de page 9

Note de bas de page 10

Une organisation conserve généralement le contrôle des renseignements personnels faisant l’objet d’un contrat. Dans le cas de l’ASFC, le contrat conclu avec l’entrepreneur contient en outre une clause stipulant que toutes les données produites et saisies par l’équipement de LPI sont la propriété de l’Agence.

Retour à la référence de la note de bas de page 10

Note de bas de page 11

Maintenant appelé Services publics et Approvisionnement Canada (SPAC).

Retour à la référence de la note de bas de page 11

Note de bas de page 12

Niveaux de sécurité

Retour à la référence de la note de bas de page 12

Note de bas de page 13

VPN (virtual private network) (en anglais seulement)

Retour à la référence de la note de bas de page 13

Date de modification :: 2022-09-29

Sélection de la langue

Recherche et menus

Recherche