Sélection de la langue

Recherche

Un incident lié à l’envoi de courriels par Immigration, Réfugiés et Citoyenneté Canada entraîne un risque de préjudice aux individus demandant une aide d’urgence en lien avec la situation en Afghanistan

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels

Le 14 décembre 2022


Description

Un individu a déposé une plainte concernant l’envoi de 4 courriels de masse par Immigration, Réfugiés et Citoyenneté Canada (IRCC) à 636 individus visant à répondre à des demandes liées aux mesures d’urgence en lien avec la situation en Afghanistan à l’automne 2021. Dans ces courriels, les adresses de tous les destinataires avaient été saisies dans le champ « À » plutôt que dans le champ « CCI » (copie conforme invisible). Les adresses courriel ont donc été communiquées à tous les autres destinataires, ainsi que, dans certains cas, des photos miniatures, et le fait qu’ils avaient contacté IRCC pour obtenir des renseignements sur les mesures d’urgence. Cette atteinte était susceptible de menacer la vie des destinataires qui auraient pu se trouver en Afghanistan et qui cherchaient refuge pour fuir les talibans.

Points à retenir

  • Lorsque vous envoyez des renseignements à un grand nombre de personnes par voie électronique (courriels de masse) et que vous saisissez les adresses courriel dans les champs « À » ou « CC » plutôt que dans le champ « CCI », vous communiquez les renseignements personnels des destinataires à toutes les personnes adressées dans les courriels. Si vous êtes un fonctionnaire fédéral, il vous incombe de veiller à ce que ce genre de communication respecte l’article 8 de la Loi sur la protection des renseignements personnels.
  • Dans les secteurs de programmes chargés de communiquer régulièrement avec des individus à propos de sujets sensibles, ou avec des personnes qui se trouvent dans des situations délicates, il est recommandé d’élaborer des procédures, des directives concrètes et de la formation pour s’assurer que les employés savent comment protéger les renseignements personnels lorsqu’ils communiquent avec des gens de l’extérieur.
  • Les secteurs de programmes peuvent aussi envisager d’utiliser des outils logiciels permettant de réduire certains types d’erreurs menant à des communications accidentelles par courriel.

Rapport de conclusions

Aperçu

Lorsque les talibans ont pris le contrôle de l’Afghanistan en août 2021, le Canada a annoncé qu’il suspendrait temporairement ses activités diplomatiques dans la capitale de Kaboul en raison de l’évolution rapide de la situationNote de bas de page 1. Le gouvernement du Canada a indiqué qu’il suit de près l’évolution de la situation en Afghanistan et qu’il coordonne son intervention avec ses partenaires internationaux pour faire tout ce qu’il peut afin de soutenir l’Afghanistan et le peuple afghanNote de bas de page 2.

En réponse à la situation de crise, Immigration, Réfugiés et Citoyenneté Canada (« IRCC ») a prévu des mesures de facilitation pour soutenir les personnes touchées par la crise et amener les Afghans en lieu sûr au titre des mesures spéciales d’immigration. IRCC a mis en place une boîte aux lettres réservées aux personnes touchées par la situation pour qu’elles puissent communiquer avec le Ministère concernant l’aide d’urgence disponible. Bon nombre des personnes ayant communiqué avec IRCC dans le contexte de la crise ou des personnes auxquelles elles se rattachent craignaient d’être persécutées en Afghanistan. Certaines de ces personnes semblaient toujours être en Afghanistan, selon l’examen d’IRCC.

Le 28 octobre 2021, IRCC a avisé le Commissariat d’une atteinte impliquant la communication par inadvertance de renseignements personnels lors de l’envoi de quatre courriels génériques à des personnes ayant écrit au Ministère pour demander des conseils sur les mesures d’urgence liées à la situation en AfghanistanNote de bas de page 3. Les adresses courriel des personnes étaient saisies dans le champ « À », et non dans le champ copie carbone invisible (« CCI »), communiquant ainsi la liste complète des destinataires à toutes les personnes incluses dans chaque courriel. Après avoir été avisé de l’incident par deux destinataires du courriel, IRCC a commencé à aviser les 636 personnes concernées par l’incident. L’étendue des communications comprend : i) les adresses courriel; ii) dans certains cas, la photo miniature de la personne associée à son adresse courriel; iii) le fait que la personne s’est renseignée sur les mesures d’urgence liées à la situation en Afghanistan. Compte tenu du contexte dans lequel les personnes ont contacté IRCC, et les risques potentiellement importants à la sécurité et au bien-être de ces personnes si leurs identités étaient dévoilées, les renseignements personnels étaient de nature sensible en soi.

La question a subséquemment été soulevée dans les médias et le Commissariat a reçu une plainte (d’une personne indirectement touchée par l’atteinte). Le plaignant a dit craindre que l’atteinte ne menace la vie de plusieurs centaines d’Afghans vulnérables qui cherchent refuge pour fuir les talibans et témoigne d’un manque flagrant de mesures en place à IRCC pour assurer la protection des renseignements personnels des personnes les plus vulnérables.

Dans le cas présent, IRCC reconnaît que les communications ont été faites de façon erronée et sans fin acceptable, contrevenant ainsi aux dispositions relatives aux communications prévues à l’article 8 de la Loi sur la protection des renseignements personnels (la « Loi »). Étant donné les répercussions potentiellement importantes des communications sur ces personnes qui demandaient une aide d’urgence de la part du gouvernement du Canada, nous avons examiné la pertinence des mesures d’IRCC visant à : i) éviter des communications de cette nature; ii) atténuer les dommages potentiels que l’incident pourrait occasionner aux personnes touchées; iii) réduire le risque de récurrence à l’avenir.

Nous avons constaté que les mesures administratives et procédurales en place à IRCC ne sont pas suffisantes pour atténuer le risque de communications accidentelles de renseignements personnels sensibles lorsque le Ministère utilise un courriel de masse pour communiquer avec des individus. Il n’y a entre autres aucune procédure de suivi ou de surveillance de la conformité pour assurer la diligence raisonnable nécessaire à la protection des renseignements personnels des personnes.

En ce qui concerne l’atténuation des répercussions sur les personnes touchées, nous avons constaté qu’IRCC a pris d’importantes mesures d’atténuation immédiates, notamment d’aviser les personnes touchées et d’exiger que toutes les copies des courriels reçus par les destinataires soient supprimées. Cela dit, cette atteinte a créé un risque de préjudice grave pour plus de 600 personnes qui craignaient sans doute des représailles des talibans et demandaient une aide d’urgence et une protection du gouvernement du Canada. Ce risque ne peut être entièrement éliminé après une atteinte. Par conséquent, il était impératif qu’IRCC renforce ses mécanismes de prévention afin d’éviter qu’un incident semblable ne se reproduise.

Nous estimons que, dans l’ensemble, IRCC a pris des mesures correctives positives à la suite de l’atteinte pour réduire le risque de récurrence d’un incident semblable, notamment de réviser ses procédures internes liées à l’envoi de courriels de masse en apportant des améliorations aux mesures de protection, entre autres de : i) limiter l’envoi des courriels de masse aux employés autorisés seulement et d’intégrer une procédure de vérification (une règle de « second regard »); ii) mettre en place une méthode de communication de rechange sécurisée avec le Ministère (p. ex. formulaire Web sécurisé permettant aux personnes de présenter des demandes de renseignements de ce type).

Toutefois, étant donné la nature extrêmement sensible des renseignements, et les ramifications possibles pour la sécurité personnelle des personnes en cas d’atteinte, nous avons insisté auprès d’IRCC sur le fait qu’il doit : i) mettre en place des procédures et des mesures de protection robustes dans le cadre de son architecture de sécurité afin de veiller à ce qu’une erreur humaine n’entraîne pas automatiquement une atteinte; ii) évaluer de façon continue les mécanismes de prévention pour atténuer le risque d’une communication accidentelle.

Nous avons recommandé qu’IRCC s’engage à fournir au Commissariat une mise à jour d’ici le 3 mars 2023, décrivant les autres mesures technologiques établies et mises en place pour atténuer le risque d’une correspondance par courriel mal acheminée. Nous sommes encouragés par le fait qu’IRCC ait accepté notre recommandation. De plus, IRCC a fait part au Commissariat de certaines mesures supplémentaires qu’il prend pour éviter d’autres atteintes à la vie privée semblables et assurer la protection des renseignements des clients. Ces mesures d’autoréglementation sont décrites dans le rapport ci-dessous. IRCC a également signalé avoir tiré parti des leçons apprises de cette atteinte pour améliorer ses mesures de protection et réduire le risque de communications de renseignements personnels accidentelles pendant la gestion de la crise en Ukraine (p. ex. les mesures de facilitation élaborées pour soutenir les Ukrainiens touchés par cette crise et leur famille).

Portée

  1. L’enquête du Commissariat portait sur : i) les mesures d’IRCC visant à éviter les communications non autorisées de renseignements personnels de cette nature; ii) la pertinence des mesures d’IRCC visant à atténuer les répercussions de l’incident sur les personnes touchées; iii) les mesures d’IRCC visant à réduire le risque de récurrence à l’avenir. Le plaignant a également soulevé des préoccupations concernant les ramifications de l’atteinte et les conséquences mettant en danger la vie des personnes touchées par l’atteinte, et aussi qu’il y avait (et pourrait encore y avoir) un risque de mauvaise utilisation des renseignements personnels en question (p. ex. les personnes cherchant refuge pour fuir les talibans pourraient être identifiées). Le présent rapport aborde également ces préoccupations en tenant compte des mesures d’IRCC visant à atténuer les risques pour les personnes touchées par l’atteinte.

Contexte des communications

  1. En réponse à la situation en Afghanistan, le gouvernement du Canada a élaboré plusieurs mesures et programmes spéciaux pour soutenir les personnes touchées par la crise, y compris des mesures spéciales d’immigration pour amener les Afghans en lieu sûr. IRCC a mis en place une boîte aux lettres « Situation Afghanistan » pour permettre aux personnes touchées par la situation de communiquer avec le Ministère et poser des questions relatives aux mesures de soutien offertes (p. ex. le traitement prioritaire pour certains types de demandes).
  2. Le Centre de soutien à la clientèle (CSC) d’IRCC a été chargé de gérer la boîte aux lettres « Situation Afghanistan » et de trier les demandes de renseignements afin d’y répondre. IRCC a indiqué que les demandes de renseignements reçues par l’intermédiaire de la boîte aux lettres « Situation Afghanistan » provenaient des sources suivantes : i) demandes de renseignements directes des personnes concernant les mesures spéciales d’immigration du Canada pour l’Afghanistan (p. ex. ces personnes ont suivi la procédure qui se trouve sur le site Web d’IRCC pour contacter le Ministère); ii) les demandes de renseignements ponctuelles (courriels) reçues par les intervenants internes à IRCC (p. ex. le cabinet du ministre) qui ont été transférées à la boîte aux lettres « Situation Afghanistan » pour obtenir une réponse.
  3. Les personnes touchées par l’atteinte ont envoyé par courriel des demandes de renseignements à divers intervenants internes à IRCC entre le 17 août et le 18 octobre 2021 concernant les mesures de soutien offertes. En raison du volume de demandes, IRCC s’était mobilisé pour centraliser toutes les demandes de renseignements dans le CSC. Une procédure avait été mise en place, selon laquelle les intervenants internes devaient transférer les courriels à la boîte aux lettres « Situation Afghanistan » pour que le CSC puisse y répondre.

Circonstances de l’atteinte à la vie privée

  1. Le 18 octobre 2021, un employé du CSC a envoyé quatre courriels distincts (chacun adressé à 100-200 destinataires) à un total de 636 personnes qui avaient communiqué avec des intervenants internes à IRCC pour demander des renseignements au sujet des mesures de soutien offertes relativement à la crise en Afghanistan. Tel qu’il est indiqué ci-dessus, ces demandes de renseignements avaient d’abord été reçues par des intervenants internes, puis transférées par le biais de Microsoft Outlook à la boîte aux lettres « Situation Afghanistan ». IRCC a indiqué que le CSC traite habituellement les demandes de renseignements reçues par le Ministère en ligne (au moyen d’un formulaire Web); cependant, dans le cas présent, le CSC n’a pas été en mesure de transférer ni de traiter les courriels transférés au moyen des mêmes outils technologiques, et a plutôt envoyé les réponses par courriel.
  2. Le contenu des quatre courriels était le même et fournissait des renseignements sur les mesures de soutien et les services offerts aux personnes touchées par la situation en Afghanistan, y compris celles qui sont restées en Afghanistan et ayant une relation avec le CanadaNote de bas de page 4, les personnes à l’extérieur de l’Afghanistan, et les personnes au Canada à ce moment-là. Les courriels comprenaient des liens vers les services offerts et des descriptions de mesures spéciales qui pourraient s’appliquer selon la situation de chaque personne.
  3. Toutefois, l’employé qui a préparé les quatre courriels a ajouté par inadvertance les adresses courriel des personnes dans le champ « À » plutôt que dans le champ « CCI », communiquant ainsi les adresses courriel à toutes les personnes adressées dans chacun des quatre courriels.
  4. Les renseignements personnels en cause comprennent les adresses courriel des personnes touchées et dans certains cas, une photo miniature associée à leur compte courrielNote de bas de page 5. Le contexte du courriel (p. ex. les personnes ont contacté IRCC à propos des mesures de soutien pour l’Afghanistan) a également été communiqué.
  5. IRCC a été mis au courant de l’atteinte parce que deux des destinataires ont communiqué avec le Ministère après avoir reçu l’un de ces courriels concernant les mesures de soutien du Canada offertes aux ressortissants afghans.

Analyse

Question 1 : Les communications n’avaient pas d’objectif autorisé et par conséquent, contrevenaient à l’article 8

  1. Étant donné que les adresses courriel des personnes ont été saisies dans le champ « À » plutôt que dans le champ « CCI », toutes les personnes ayant reçu le message par courriel ont également pu voir la liste complète des destinataires (qui dans certains cas affichait la photo miniature ou le nom associé à une adresse courriel). Il s’agissait d’une communication de l’information de toutes les personnes ayant contacté IRCC pour obtenir des renseignements sur les mesures de soutien.
  2. Le paragraphe 8(1) de la Loi prévoit que les renseignements personnels ne peuvent être communiqués qu’avec le consentement de l’individu ou conformément aux dispositions énoncées au paragraphe 8(2) de la Loi, qui permettent la divulgation sans consentement pour un nombre de buts précis. Étant donné qu’aucune des situations prévues au paragraphe 8(2) ne s’applique aux communications accidentelles à des destinataires imprévus, nous avons conclu qu’IRCC, en communiquant des renseignements personnels, a enfreint l’article 8 de la Loi, et que, par conséquent, la plainte est fondée.

Question 2 : Les mesures en place d’IRCC visant à éviter de telles communications n’étaient pas suffisantes

  1. La Loi ne dit rien à propos des mesures que les institutions devraient prendre pour éviter les communications inappropriées de renseignements personnels au titre de l’article 8. Cependant, selon nous, une institution est tenue de prendre des mesures raisonnables appropriées correspondant à la nature sensible des renseignements et au risque de mauvaise utilisation (si une communication avait lieu). Cette attente s’harmonise avec les principes directeurs qui figurent dans le Cadre stratégique de gestion du risque du Secrétariat du Conseil du Trésor (SCT)Note de bas de page 6, qui évalue et définit les incidences des risques pour l’institution grâce à un outil visant la protection des renseignements personnels, ainsi qu’à d’autres outils de gestion des atteintes à la vie privée mis au point pour aider à évaluer les incidences d’une atteinte, notamment l’Instrument d’évaluation de l’incidence des risques d’atteinte à la vie privée en matière d’AIPRPNote de bas de page 7.
  2. Dans ce cas, les renseignements communiqués peuvent être catégorisés comme étant de nature extrêmement sensible. Les renseignements pouvaient révéler que les personnes à qui appartenaient ces adresses courriel (dont certaines comprenaient le nom des personnes et/ou une photo associée à leur compte), y compris des personnes toujours en Afghanistan à ce moment-là, avaient contacté IRCC pour demander de l’aide d’urgence. Le fait que ces personnes aient contacté le Ministère a révélé qu’elles avaient potentiellement un lien avec le Canada lorsque celui-ci était présent en Afghanistan, et qu’elles cherchaient refuge par crainte de représailles (notamment d’être persécutées) par les talibans.
  3. En général, l’identité des personnes qui demandent de l’aide d’urgence à IRCC lors d’une situation de crise humanitaire politique est susceptible d’être de nature sensible, car il est raisonnable de présumer que les personnes se trouvant dans de telles situations craignent d’être persécutées (ce qui explique pourquoi elles communiquent avec IRCC).
  4. Lorsque des renseignements sont transmis à un grand nombre de personnes, y compris à des personnes dont les identités ne sont pas connues (comme c’était le cas dans la présente situation), le risque d’une mauvaise utilisation augmente, et les motivations de toutes ces personnes, et de toute autre à qui les destinataires d’origine pourraient transmettre les renseignements ne peuvent être déterminées. Dans le cas présent, la possibilité d’une mauvaise utilisation et les risques associés étaient sérieux et pouvaient potentiellement mettre des vies en danger. Un acteur malicieux n’aurait qu’à ouvrir un seul de ces courriels pour obtenir des renseignements relatifs à 100 ou 200 personnes cherchant potentiellement refuge pour fuir la situation de crise en Afghanistan.
  5. Étant donné la nature extrêmement sensible de ce type de renseignements et la possibilité d’une mauvaise utilisation découlant d’une atteinte à la sécurité par courriel de masse de cette nature, nous avons examiné les mesures qui étaient en place à IRCC pour assurer la protection des renseignements personnels au moment de communiquer avec des personnes qui souhaitaient obtenir de l’information sur les mesures d’urgence. Compte tenu des risques liés aux renseignements personnels et à la sécurité, nous nous attendions à ce qu’IRCC ait mis en place des mesures de protection robustes pour réduire le risque que des renseignements soient communiqués accidentellement lors des échanges avec des personnes susceptibles de craindre la persécution. Ces mesures de protection devraient comprendre des efforts pour prévenir les atteintes et assurer la sécurité, notamment : i) des procédures de sécurité adéquates; ii) de la formation sur ces procédures; iii) des vérifications pour favoriser le respect de ces procédures.
  6. Dans le cas présent, nous avons constaté que les mesures administratives et procédurales en place à IRCC ne sont pas suffisantes pour atténuer le risque de communications accidentelles des renseignements personnels sensibles lors de l’envoi de courriels de masse de cette nature. Il n’y a entre autres aucune procédure de suivi ou de surveillance de la conformité pour assurer la diligence raisonnable nécessaire afin de protéger les renseignements personnels des personnes.
  7. Nous avons constaté que la procédure d’IRCC relative à l’envoi de courriels de masse était décrite dans un « outil de travail », qui comprenait des instructions étape par étape pour minimiser le risque d’erreur humaine lors de l’envoi de courriels de masse. Bien que la procédure contenait des instructions pour copier les destinataires du courriel dans le champ « CCI », aucune vérification n’a été effectuée pour assurer le respect de la procédure. Par ailleurs, la procédure n’établissait aucune limite quant au nombre de destinataires pouvant être inclus dans un envoi de masse de cette nature ni ne prévoyait de vérification de conformité pour garantir le respect de la procédure. Comme il a été indiqué précédemment, dans cette affaire, IRCC a été averti de l’atteinte par deux des destinataires concernés, et non par un employé interne.
  8. Depuis l’atteinte, IRCC a révisé ses procédures internes pour les courriels de masse et pris les mesures suivantes pour améliorer la protection de la sécurité et atténuer le risque de communications accidentelles futures de cette nature : i) seuls les employés autorisés à envoyer des courriels de masse au nom du Ministère se voient accorder l’accès par le service des TI à l’adresse courriel « ne pas répondre » d’IRCC; ii) la nouvelle procédure limite le nombre de personnes par courriel de réponse à 25 et intègre une procédure de vérification; tous les envois de masse doivent d’abord être vérifiés par le gestionnaire de l’employé avant que les courriels puissent être envoyés; iii) un outil de travail visuel étape par étape mis à jour a été transmis aux employés responsables d’effectuer ces tâches.
  9. IRCC a également mis en œuvre un nouveau formulaire Web « Mesures spéciales » sur son site Web pour permettre aux personnes de contacter IRCC au sujet des mesures d’immigration pour l’AfghanistanNote de bas de page 8. Le formulaire Web est un outil pour les demandes de renseignements qui élimine la nécessité d’envoyer des courriels depuis un compte de courriel personnel à la boîte aux lettres « Situation Afghanistan ». Les individus doivent plutôt répondre aux questions du formulaire Web afin de permettre à IRCC de mieux comprendre leur situation et de rediriger la demande de renseignements vers l’intervenant approprié pour obtenir une réponseNote de bas de page 9. Selon IRCC, le formulaire Web simplifie la réception, le tri et le traitement des demandes de renseignements des clients liées à l’Afghanistan. IRCC travaillait à la mise en œuvre du formulaire Web avant que l’atteinte ne se produise; celui-ci a été mis en ligne le 18 octobre 2021 (le même jour que l’atteinte à la vie privée).
  10. IRCC a également indiqué qu’il évaluait une solution logicielle technologique possible qui pourrait atténuer le risque que les utilisateurs envoient leurs correspondances par courriel au mauvais endroit.
  11. Selon IRCC, l’employé responsable de l’atteinte avait les outils et la formation nécessaires pour être en mesure de traiter les envois de masse de cette nature, y compris un accès à l’outil de travail. À la suite de l’atteinte, IRCC a signalé que l’employé a été avisé de la gravité des conséquences de ses gestes, et la responsabilité de répondre à ce type de demandes de renseignements a immédiatement été réassignée à un autre membre de l’unité. L’employé a également dû suivre la formation ministérielle pour améliorer ses connaissances sur la protection des renseignements personnelsNote de bas de page 10.
  12. IRCC confirme que tous les employés de cette unité ont été rencontrés par le gestionnaire lors de réunions de groupe dans les jours qui ont suivi l’atteinte (entre le 22 et le 27 octobre 2021) pour rappeler aux employés l’importance de la protection des renseignements personnels dans leurs tâches quotidiennes. Ces employés ont tous suivi le cours de formation : « Protection des renseignements personnels et accès à l’information à CIC »Note de bas de page 11. De plus, IRCC a envoyé plusieurs rappels à ses employés concernant la protection des renseignements personnels à la suite de l’événement, qui faisaient référence aux outils, aux ressources et aux possibilités d’apprentissage disponibles pour les employés d’IRCC afin d’assurer la protection des renseignements personnels.
  13. Selon nous, il s’agit de mesures d’atténuation positives qui sont maintenant intégrées dans les procédures et les formations d’IRCCNote de bas de page 12. Nous avons également constaté que la mise en œuvre du nouveau formulaire Web « Mesures spéciales » d’IRCC, qui vise à simplifier le traitement des « demandes de renseignements des clients relatives à l’Afghanistan », est une mesure d’atténuation positive; toutefois, nous avons remarqué que cette mesure ne permet pas d’éliminer complètement le risque que certaines personnes communiquent avec le Ministère à partir de leur compte courriel personnel, comme ce qui s’est produit dans le cas présent. Cela souligne l’importance de mettre en place des formations et des procédures exhaustives, et de veiller à ce qu’IRCC puisse gérer efficacement une situation semblable éventuelle.
  14. Malgré les mesures positives prises ci-dessus, et puisque le Ministère l’avait indiqué comme son intention (voir paragraphe 21), nous avons recommandé qu’IRCC examine et obtienne d’autres mesures de sécurité technologiques pour réduire le risque de communications de renseignements personnels inappropriées dans un contexte de communications de masse.

Question 3 : La réponse d’IRCC visant à atténuer l’incidence sur les personnes touchées était adéquate

  1. Selon la sous-section 6.1.2 de la Directive sur les pratiques relatives à la protection de la vie privéeNote de bas de page 13, les responsables des institutions fédérales ou leurs délégués ont la responsabilité d’établir des plans régissant les atteintes à la vie privée au sein de leur institutionNote de bas de page 14. De surcroît, dans la section 4 des Lignes directrices sur les atteintes à la vie privée du SCT, il est fortement recommandé, autant que possible, à l’institution d’aviser les personnes touchées de l’infraction « dans les meilleurs délais, pour leur permettre de prendre des mesures de protection ou d’atténuer les préjudices causés […] ou les autres torts possibles ».
  2. Les Lignes directrices sur les atteintes à la vie privée d’IRCC comprennent des procédures en cas de telles atteintes. Les Lignes directrices énoncent que si l’on soupçonne une atteinte à la vie privée, des mesures immédiates doivent être prises pour limiter la portée de l’atteinte, et la division de l’AIPRP doit être avisée dans les 48 heures pour qu’une évaluation des risques soit effectuée. Les Lignes directrices exigent également qu’IRCC avise les personnes touchées dès que possible en envoyant une lettre d’excuses.
  3. Nous nous attendons à ce qu’une institution prenne des mesures raisonnables pour atténuer les risques de préjudices potentiels découlant d’une infraction à la Loi. Dans le cas présent, IRCC a démontré que, après avoir été alerté de l’atteinte par deux des destinataires, il a été prompt à réagir pour évaluer les risques et prendre des mesures d’atténuation.
  4. Les renseignements dont dispose IRCC concernant les destinataires du courriel sont limités, ce qui a rendu difficile l’évaluation des risques de mauvaise utilisation et de la nature sensible des renseignements de chaque personne. Néanmoins, l’analyse de risque d’IRCC comprend une analyse des adresses courriel communiquées lors de l’atteinte (afin de déterminer le pays ou la région des personnes touchéesNote de bas de page 15), ainsi qu’une analyse pour déterminer si les dossiers d’IRCC peuvent être associés à ces adresses courriel. L’incapacité d’évaluer complètement la probabilité que les courriels soient publiés dans le domaine public était un facteur clé dans l’analyse d’IRCC.
  5. L’examen d’IRCC a permis de conclure que la majorité des adresses courriel n’étaient pas rattachées à une demande ouverte ou à un dossier dans le système d’IRCC. Toutefois, le Ministère a indiqué avoir eu la confirmation que 21 personnes avaient un dossier ou une demande courante dans le système, et avoir agi rapidement conformément aux mesures de facilitation mises en place pour soutenir les personnes touchées par la crise en AfghanistanNote de bas de page 16. Parmi ces 21 personnes, IRCC en a contacté 7 qui semblaient résider en Afghanistan à ce moment-là. IRCC a indiqué que la plupart d’entre elles en étaient à l’étape d’admissibilité du traitement, certaines avaient déjà quitté l’Afghanistan et une autre était arrivée au Canada. Au-delà des mesures de facilitation mises en place pour soutenir les personnes touchées par la crise, IRCC a déclaré ne plus pouvoir offrir de protection directe aux personnes qui se trouvaient toujours en Afghanistan à ce moment-là étant donné qu’IRCC n’était plus présent en Afghanistan.
  6. Le 22 octobre 2021, quatre jours après l’atteinte, IRCC a avisé toutes les personnes concernées. Les personnes ont ainsi été prévenues de l’incident, ce qui leur a permis de prendre des mesures pour évaluer l’incidence du risque (p. ex. risque pour la sécurité personnelle). L’avis soulignait également des risques possibles auxquels les destinataires n’auraient peut-être pas pensé, comme le risque que certaines personnes utilisent la liste de courriel et se fassent passer pour le gouvernement du Canada. L’avis fournissait également des conseils et des informations sur le format des courriels du gouvernement canadien et sur les façons de reconnaître des courriels ou des appels d’hameçonnage. L’avis comprenait un numéro de téléphone désigné d’IRCC pour les situations de crise et invitait les personnes touchées à contacter IRCC par téléphone (appels à frais virés acceptés) en cas de questions concernant l’atteinte, ou pour signaler d’autres communications qu’elles auraient reçues prétendant provenir du gouvernement du Canada ou d’IRCC. IRCC a aussi demandé à ce que les personnes suppriment toutes les copies du courriel reçu afin d’assurer la protection de la vie privée des autres personnes touchées.
  7. IRCC a signalé que le CSC a surveillé les appels et les courriels entrant pour relever ceux qui auraient pu avoir un lien avec l’atteinte. Les employés du CSC avaient reçu des directives sur la façon de répondre aux appels liés à une atteinte et devaient signaler tout appel à la direction s’ils en recevaient. IRCC a indiqué n’avoir reçu aucun appel concernant l’atteinte par le biais de la ligne téléphonique prévue en cas de crise.
  8. Compte tenu de la crise en Afghanistan et de la situation extrêmement sensible dans le cadre de laquelle ces personnes ont contacté IRCC, il était selon nous crucial qu’IRCC avise les personnes concernées par l’atteinte le plus rapidement possible, ce qu’il a fait dans le cas présent. Selon nous, il s’agit d’une pratique importante lorsqu’une atteinte à la sécurité de renseignements sensibles se produit, et d’une stratégie d’atténuation clé pour réduire les dommages et les conséquences néfastes de l’atteinte.
  9. Malgré les mesures correctives positives prises par IRCC en réponse à l’atteinte qui étaient raisonnables et immédiates, cette atteinte a créé un risque de préjudice grave pour plus de 600 personnes craignant sans doute des représailles des talibans et demandant l’aide d’urgence et la protection du gouvernement du Canada. Ce risque ne peut être entièrement éliminé après une atteinte. Par conséquent, nous avons indiqué qu’il est impératif pour IRCC de renforcer ses mécanismes de prévention afin d’éviter qu’un incident semblable ne se produise.
  10. Étant donné la nature extrêmement sensible des renseignements et les ramifications possibles pour la sécurité personnelle des personnes en cas d’atteinte, nous avons insisté auprès d’IRCC sur le fait qu’il doit : i) mettre en place des procédures et des mesures de protection robustes dans le cadre de son architecture de sécurité afin de veiller à ce qu’une erreur humaine n’entraîne pas automatiquement une atteinte; ii) évaluer de façon continue les mécanismes de prévention pour atténuer le risque d’une communication accidentelle.

Constatations et recommandations

  1. Étant donné que la communication de renseignements personnels dans le cas présent a été faite de façon erronée, sans fin acceptable, nous concluons qu’IRCC a enfreint les dispositions relatives aux communications de l’article 8 de la Loi et que la plainte est fondée.
  2. Notre examen nous permet de conclure qu’IRCC a pris des mesures raisonnables après l’atteinte, notamment : la révision et la mise à jour de ses procédures internes pour l’envoi de courriels, l’ajout de formation et la mise en place d’un formulaire Web sécurisé pour toutes les demandes de renseignements futures semblables. Nous avons également pu constater qu’IRCC a utilisé d’importantes stratégies d’atténuation pour réduire l’incidence de l’atteinte sur les personnes touchées, notamment d’aviser les personnes touchées et d’exiger que toutes les copies des courriels reçus par les destinataires soient supprimées.
  3. Toutefois, nous avons aussi remarqué qu’IRCC n’est pas en mesure d’atténuer efficacement toutes les conséquences néfastes possibles de cette atteinte pour les personnes touchées. Compte tenu de la nature extrêmement sensible de telles communications, il est essentiel d’empêcher que des atteintes semblables ne se reproduisent. L’importance d’une atteinte de cette nature et les ramifications possibles pour les personnes touchées devraient être prises en considération dans les efforts d’IRCC pour prévenir les atteintes. Nous avons été encouragés par le fait qu’IRCC ait reconnu qu’une sensibilisation accrue du personnel est un élément essentiel à la prévention, et par son intention officielle de continuer à explorer les outils technologiques en vue de réduire le risque d’erreur humaine lors de la communication de renseignements personnels de nature sensible par voie électronique.
  4. Compte tenu de ce qui précède, afin de régler ce problème, nous demandons à ce qu’IRCC s’engage à fournir au Commissariat une mise à jour d’ici le 3 mars 2023, décrivant les autres mesures technologiques établies et mises en place pour atténuer le risque que les correspondances par courriel soient acheminées au mauvais endroit.
  5. IRCC a accepté toutes nos recommandations et s’est engagé à fournir une mise à jour complète sur ces mesures d’ici le 3 mars 2023. En attendant, IRCC a transmis au Commissariat certaines mesures technologiques et procédurales, décrites ci-après, qui ont été prises à ce jour pour empêcher de futures atteintes semblables :
    1. IRCC a indiqué que la mise en œuvre d’une solution logicielle a été recommandée pour atténuer le risque que les correspondances par courriel soient acheminées au mauvais endroit par les utilisateurs (voir le paragraphe 21).
    2. IRCC a indiqué avoir tiré parti des leçons retenues dans cette atteinte pour élaborer une stratégie visant à éviter le contournement des procédures existantes lors d’une situation de crise. La stratégie d’IRCC tient compte du fait qu’il faut donner un accès le plus rapidement possible aux outils pertinents nécessaires pour gérer les demandes de renseignements (p. ex. des formulaires Web sur les mesures spéciales pour les clients, la capacité pour les agents du CSC de gérer les demandes de renseignements au moyen du système de gestion des courriels [et non une boîte de réception Outlook normale]). IRCC a également indiqué qu’il envisage certaines solutions technologiques pour gérer les demandes de renseignements qu’il pourrait recevoir lorsqu’une crise survient et avant que ces outils sécurisés ne soient disponibles, notamment une solution qui permettrait le traitement en lots des courriels pour qu’ils soient envoyés à chaque destinataire successivement (plutôt qu’un seul courriel envoyé à plusieurs destinataires).
    3. IRCC a également entrepris d’autres efforts pour prévenir les atteintes afin d’améliorer sa position relative aux renseignements personnels et intégrer des mesures de protection des renseignements personnels à chaque étape des initiatives d’IRCC. IRCC a confirmé qu’il a depuis élaboré un ensemble de politiques de protection des renseignements personnels afin d’assurer une surveillance et une responsabilité accrues de la gestion des renseignements personnels. Il révise également ses Lignes directrices sur les atteintes à la vie privée pour différencier les renseignements personnels de nature sensible des autres renseignements personnels de nature moins sensible, et pour inclure des procédures obligatoires visant la gestion des atteintes à la vie privée. Ces procédures offriront des stratégies d’atténuation et de prévention fondées sur des études de cas précis d’atteintes antérieures à la vie privée à IRCC pour renforcer la réponse du Ministère liée à la gestion des atteintes.
    4. Enfin, IRCC a indiqué qu’il élaborait également de nouveaux outils pour aider les employés à respecter leurs obligations en matière de protection des renseignements personnels, ainsi que pour habiliter les employés grâce à la formation et à la sensibilisation pour cerner, évaluer et atténuer les risques liés aux renseignements personnels. IRCC a déclaré que son « objectif est de faire de la protection des renseignements personnels un élément par défaut pour que des mesures de protection robustes soient en place avant de recueillir ou d’utiliser des renseignements personnels ».
  6. Selon nous, les mesures supplémentaires ci-dessus amélioreront grandement les efforts d’IRCC pour prévenir les atteintes.
  7. Compte tenu de ce qui précède, le Commissariat estime que la plainte est fondée et résolue de manière conditionnelle.

Observations

  1. L’une des causes les plus courantes d’atteintes à la sécurité des données signalées au Commissariat concerne l’envoi de renseignements personnels à des personnes auxquelles ils ne sont pas destinés, y compris la communication involontaire de renseignements personnels au moment d’envoyer de l’information à un groupe par voie électronique (p. ex. utiliser le champ « À » au lieu du champ « CCI »)Note de bas de page 17. Bien que les courriels soient efficaces et souvent la méthode de communication privilégiée, il y a des risques inhérents associés à l’envoi de renseignements par voie électronique, et dans plusieurs cas, il s’agit d’une erreur humaine.
  2. Notre dernier rapport annuel au Parlement soulignait le fait que 93 % des rapports d’atteinte que notre bureau a reçus en 2021-2022 indiquaient que l’atteinte avait été causée par une erreur humaine, ce qui fait ressortir la nécessité pour les institutions de mettre en œuvre des mesures de protection appropriées et de renforcer la sensibilisation à la protection de la vie privée afin de s’assurer de faire connaître aux employés les politiques et les procédures en place ainsi que leurs responsabilités aux termes de la Loi. Il s’agit là de mesures essentielles pour que les institutions soient tenues de rendre des comptes au sujet des renseignements personnels qu’elles recueillent, utilisent ou communiquentNote de bas de page 18.
  3. Dans ce cas, l’atteinte ne découlait pas d’une erreur humaine isolée. IRCC a adapté ces processus pour répondre plus efficacement au volume de demandes associées à la situation de crise en Afghanistan et, ce faisant, il n’a pas été en mesure, selon nous, de reconnaître ni de gérer de façon proactive les risques liés à la manière de communiquer avec ces personnes. Cette situation met en lumière l’importance de veiller à ce que des procédures et des contrôles administratifs adéquats soient en place pour réduire le risque de communications accidentelles au moment d’envoyer de l’information par voie électronique, en particulier si les renseignements personnels sont de nature sensible et pourraient poser des risques potentiellement importants à la sécurité et au bien-être des personnes s’ils étaient communiqués par erreur.
  4. Compte tenu du mandat d’IRCC, les employés ont accès à un volume élevé de renseignements personnels de nature sensible, ce qui pourrait entraîner un risque important si les renseignements personnels étaient communiqués par erreur. Il est important que les employés connaissent bien les exigences de la Loi lorsqu’ils manipulent des renseignements personnels. Il est également essentiel que les employés soient conscients du risque de préjudice potentiel à la santé et à la sécurité des personnes à risque qui cherchent à obtenir un aide d’urgence de la part du gouvernement. Donc, l’évaluation uniforme des risques que présentent les personnes qui contreviennent ou qui pourraient contrevenir à la Loi constitue une étape importante pour remédier adéquatement aux risques pour les personnes.
  5. Pour terminer, nous tenons à remercier IRCC de sa mobilisation ouverte et collaborative avec le Commissariat pendant cette enquête. L’engagement évident d’IRCC à améliorer l’architecture de sécurité du Ministère à l’aide de procédures et de mesures de protection robustes devrait assurer une responsabilité accrue quant aux droits à la protection des renseignements personnels des clients.

Mise à jour

IRCC s’est engagé à mettre en œuvre les mesures correctives recommandées dans le rapport de conclusions. Selon les renseignements obtenus d’IRCC, le Commissariat est satisfait des mesures prises par le Ministère pour donner suite aux recommandations. Nous considérons donc ce dossier comme étant clos.

Date de modification :