Enquête portant sur une atteinte à la vie privée à Immigration, Réfugiés et Citoyenneté Canada
Plainte déposée en vertu de la Loi sur la protection des renseignements personnels
Le 24 janvier 2024
Vue d’ensemble
Au titre de la politique d’intérêt public sur la voie d’accès de la résidence temporaire à la résidence permanenteNote de bas de page 1 (la voie d’accès), Immigration, Réfugiés et Citoyenneté Canada (le Ministère ou IRCC) informait les personnes admissibles d’une mesure spéciale leur permettant de rester au Canada grâce à un permis de travail pendant que le Ministère réglait les derniers détails de leur demande de résidence permanente. Ces personnes détenaient des permis de travail ouverts valides jusqu’au 31 décembre 2022, et IRCC communiquait avec elles pour les informer que les conditions de leur permis de travail seraient prolongées pour leur permettre de travailler jusqu’au 31 décembre 2024, pendant que le Ministère réglait les derniers détails de leur demande de résidence permanente.
Les données nécessaires pour communiquer avec ces personnes étaient consignées dans un tableur Excel. Lors du traitement des données, IRCC a omis par inadvertance d’appliquer un filtre à toutes les colonnes de données du tableur, ce qui a donné lieu à un désalignement des adresses courriel des personnes par rapport au reste de leurs données. Par conséquent, lorsque IRCC a débuté l’envoi des avis relativement à la mesure spéciale aux personnes qui y étaient admissibles, chacun des avis ont été envoyés à la mauvaise adresse courriel [c’est-à-dire que les renseignements personnels d’une personne ont été communiqués électroniquement à une (seule) autre personne].
IRCC a été avisé de l’erreur par plusieurs destinataires de courriels et a immédiatement cessé l’envoi des avis. IRCC a pris des mesures pour identifier les 497 personnes touchées par cette atteinte à la vie privée et les aviser de l’incident. L’étendue des renseignements personnels communiqués comprenait :
- le nom de la personne;
- son adresse postale;
- son adresse courriel;
- le numéro de la demande; et
- l’identificateur unique de client (IUCNote de bas de page 2).
Le contexte de l’avis par courriel (selon lequel ces personnes détenaient un permis de travail ouvert et avaient présenté une demande de résidence permanente) a également été communiqué.
La question a par la suite été soulevée dans les médiasNote de bas de page 3 et le Commissariat à la protection de la vie privée du Canada a reçu une plainte à cet égard (d’une personne qui n’était pas directement touchée par l’atteinte). Le plaignant s’est dit préoccupé par le fait que des renseignements personnels sensibles avaient été communiqués à la suite de cette atteinte, ce qui représentait un risque pour la vie privée de ces personnes.
Dans le cas présent, IRCC reconnaît que les communications ont été faites de façon erronée et sans fin acceptable, contrevenant ainsi aux dispositions relatives aux communications prévues à l’article 8 de la Loi sur la protection des renseignements personnels (la Loi). Nous avons examiné la pertinence des mesures d’IRCC visant à :
- éviter des communications de cette nature;
- atténuer les préjudices potentiels que l’incident pourrait causer aux personnes touchées; et
- réduire le risque que la situation se reproduise.
Bien que nous reconnaissions que l’incident dans ce cas-ci était attribuable à une erreur humaine, nous avons constaté qu’IRCC n’avait pas suffisamment de contrôles administratifs et procéduraux en place pour atténuer le risque d’erreur dans cette situation (c’est-à-dire lors du traitement des renseignements personnels pour l’envoi d’avis aux personnes admissibles). De fait, le Ministère n’avait aucune procédure de surveillance ou de contrôle de la conformité en place pour assurer la diligence raisonnable nécessaire afin de protéger les renseignements personnels qu’il détenait.
En ce qui concerne l’atténuation des répercussions que l’atteinte pourrait avoir sur les personnes touchées, nous avons constaté qu’IRCC a pris d’importantes mesures d’atténuation, notamment celles d’aviser les personnes touchées et d’exiger que le courriel reçu par erreur soit supprimé. Nous nous sommes également penchés sur l’évaluation de l’atteinte à la vie privée faite par IRCC et nous acceptons que, dans les circonstances de la présente affaire, il ne s’agissait pas d’une atteinte substantielle, étant donné le faible risque de préjudice pour les personnes touchées. Toutefois, nous avons fait savoir à IRCC que les éléments contextuels peuvent avoir une incidence sur le caractère sensible des renseignements qui font l’objet d’une atteinte à la vie privée et que, dans d’autres circonstances, une atteinte semblable peut présenter un risque réel de préjudice graveNote de bas de page 4 pour les personnes, particulièrement dans le contexte du mandat d’IRCC et du volume élevé de renseignements personnels sensibles qu’il traite. Cette situation souligne l’importance de veiller à ce que des mesures de protection adéquates soient mises en place pour protéger les renseignements personnels et atténuer le risque de communication non autorisée de ceux-ci.
À la suite de l’atteinte à la vie privée, IRCC a indiqué que l’employé vérifiait maintenant son travail afin de réduire le risque qu’un incident semblable se reproduise. En effet, l’avis transmis aux personnes touchées à la suite de l’atteinte a fait l’objet d’un examen indépendant réalisé par deux personnes distinctes avant d’être envoyé. Cependant, à notre avis, la mise en œuvre de mesures procédurales supplémentaires était nécessaire pour réduire davantage et efficacement le risque de communication inappropriée afin qu’IRCC demeure responsable des renseignements personnels qu’il recueille, utilise et communique. Comme nous l’avons souligné à IRCC à la suite d’une enquête portant sur une atteinte survenue en 2022Note de bas de page 5, IRCC doit :
- mettre en place des procédures et des mesures de protection robustes dans le cadre de son architecture de sécurité afin de veiller à ce qu’une erreur humaine n’entraîne pas automatiquement une atteinte; et
- évaluer de façon continue les mécanismes de prévention pour atténuer le risque d’une communication accidentelle.
Par conséquent, nous avons recommandé qu’IRCC examine ses processus internes et ses mesures de protection afin de cerner les points faibles ou les lacunes dans ses pratiques et de mettre en œuvre des mesures visant à atténuer le risque que des communications accidentelles de cette nature se reproduisent en veillant à ce que les contrôles appropriés soient en place. Les mesures recommandées incluaient :
- l’élaboration d’une procédure opérationnelle normalisée ou d’un outil de travail « étape par étape » pour les employés responsables d’effectuer ces tâches, y compris la formation nécessaire et l’obligation de contre-vérifier le travail;
- la mise en œuvre de mesures de surveillance (comme l’intégration d’une règle de « second regard »); et
- une surveillance régulière de la conformité pour assurer la diligence raisonnable nécessaire afin de protéger les renseignements personnels.
IRCC a accepté nos recommandations et a fait part au Commissariat des mesures supplémentaires qu’il prend pour empêcher que des atteintes semblables à la vie privée se reproduisent. Ces mesures comprennent la mise à jour des procédures opérationnelles en vue d’y inclure une étape de surveillance qui exigera la contre-vérification des données des tableurs Excel avec celles du système pour s’assurer que les filtres sont appliqués correctement. De plus, IRCC a indiqué qu’il a intégré dans sa procédure des vérifications d’assurance de la qualité des données avant l’envoi de courriels de masse pour favoriser le respect des procédures et réduire au minimum le risque d’erreur humaine.
Contexte
- Au titre de la politique d’intérêt public sur la voie d’accès, IRCC avisait les personnes admissibles d’une mesure spéciale leur permettant de rester au Canada grâce à un permis de travail pendant que le Ministère réglait les derniers détails de leur demande de résidence permanente. Ces personnes détenaient des permis de travail ouverts valides jusqu’au 31 décembre 2022, et IRCC communiquait avec elles pour les informer que les conditions de leur permis de travail seraient prolongées afin de leur permettre de travailler jusqu’au 31 décembre 2024.
- La Direction générale de l’orientation du programme d’immigration (DGOPI) d’IRCC a été chargée d’aviser les personnes admissibles de la mesure spéciale et a fourni les données opérationnelles au Réseau centralisé d’IRCCNote de bas de page 6 (le centre de traitement) aux fins de traitement. Les données opérationnelles ont été fournies par la DGOPI dans un tableur Excel conformément à la procédure ministérielle.
- Selon IRCC, dans certains cas, le centre de traitement peut déterminer qu’il est nécessaire de filtrerNote de bas de page 7 les données pour veiller à ce que les exigencesNote de bas de page 8 de la politique d’intérêt public soient respectées. Cette exigence est évaluée au cas par cas, selon l’initiative. Dans le présent cas, les données devaient être vérifiées pour s’assurer que les personnes inscrites sur la liste étaient admissibles à la prolongation de leur permis de travail.
Circonstances de l’atteinte à la vie privée
- Le 3 août 2022, un employé du centre de traitement a déterminé qu’il était nécessaire de filtrer les données en fonction de la validité du passeport (c’est-à-dire pour s’assurer que le passeport d’une personne était toujours valide) afin de s’assurer que les exigences de la politique d’intérêt public et de l’admissibilité à la mesure spécialeNote de bas de page 9 soient respectées. Pour ce faire, l’employé devait appliquer manuellement un filtre à chaque colonne de données dans le tableur Excel.
- Selon IRCC, il y avait 12 colonnes dans le tableur qui nécessitaient l’utilisation du filtre; celles-ci contenaient les données nécessaires pour communiquer avec les personnes admissibles au sujet de la mesure spécialeNote de bas de page 10 . Toutefois, l’employé n’a appliqué, par inadvertance, le filtre qu’à 11 des 12 colonnes, omettant la colonne de l’adresse courriel. Ainsi, lorsque l’employé a triéNote de bas de page 11 les données, cette colonne n’a pas été triée en conséquence, ce qui a entraîné un désalignement des adresses courriel de chaque individu par rapport au reste de leurs données dans le tableur.
- L’employé en question s’est fié aux données triées dans le tableur Excel et a procédé à la phase de notification de l’initiative. Toutefois, étant donné que la colonne de l’adresse courriel ne correspondait pas aux données de la bonne personne dans le tableur, chaque avis a été envoyé à la mauvaise adresse courriel par inadvertance (c’est-à-dire qu’un courriel n’a pas été envoyé à plusieurs adresses courriel; il a simplement été envoyé à une seule mauvaise adresse courriel par erreur).
- IRCC a confirmé qu’un total de 497 courriels avaient été envoyés à de mauvaises adresses courriel avant que le Ministère ne prenne connaissance de l’atteinte à la vie privée et interrompe l’envoi des avis. Chacun des courriels en question contenaient en pièce jointe une lettre personnalisée pour le destinataire du courriel et comprenant des renseignements sur la mesure spéciale (c’est-à-dire la prolongation de son permis de travail), les critères d’admissibilité et les instructions en cas de retrait. Les renseignements personnels suivants ont été communiqués à la suite de l’atteinte à la vie privée :
- l’adresse courriel;
- le prénom et le nom de famille de la personne;
- l’adresse postale de la personne;
- le numéro de demande; et
- l’IUC.
Plainte
- Des préoccupations concernant cette atteinte à la vie privée par IRCC ont été signalées au Commissariat par une personne qui n’était pas directement touchée par l’atteinte. Le plaignant a fait référence à un article de CIC News (en anglais seulement) qui donnait certains détails concernant l’atteinte à la vie privée et a soulevé des préoccupations selon lesquelles l’envoi de courriels contenant des renseignements personnels sensibles à la mauvaise adresse courriel représente un risque pour la vie privée de ces personnes. Le plaignant a ajouté que cette atteinte [traduction] « dénote l’absence grave de mesures pour protéger la vie privée des personnes transigeant avec le système d’immigration du Canada ».
- L’article de CIC News (en anglais seulement) indiquait également que des personnes inscrites au programme de permis de travail postdiplôme (PTPD) ont été touchées par l’atteinte à la vie privée; toutefois, IRCC a confirmé que seules les personnes jugées admissibles au titre de la voie d’accès ont été touchées dans la présente affaire.
Portée
- L’enquête du Commissariat portait sur :
- les mesures d’IRCC visant à éviter les communications non autorisées de renseignements personnels de cette nature;
- la pertinence des mesures d’IRCC visant à atténuer les répercussions de l’incident sur les personnes touchées; et
- les mesures d’IRCC visant à réduire le risque que la situation se reproduise.
Analyse
Enjeu 1 : Les communications n’étaient pas autorisées et par conséquent, contrevenaient à l’article 8 de la Loi
- Étant donné qu’IRCC a envoyé 497 courriels par inadvertance aux mauvaises adresses courriel, les destinataires de ces courriels ont reçu les renseignements personnels d’une autre personne. Il s’agissait là d’une communication des renseignements personnels concernant une personne à une autre personne, dont le contexte du courriel (c’est-à-dire que la personne était titulaire d’un permis de travail ouvert et qu’elle avait présenté une demande de résidence permanente).
- Le paragraphe 8(1) de la Loi prévoit que les renseignements personnels ne peuvent être communiqués qu’avec le consentement de l’individu ou conformément aux dispositions énoncées au paragraphe 8(2) de la Loi, qui autorisent la communication sans consentement à des fins précises. Étant donné qu’aucune des situations prévues au paragraphe 8(2) ne s’applique aux communications accidentelles à des destinataires imprévus, nous avons conclu qu’IRCC a enfreint l’article 8 de la Loi en communiquant ces renseignements personnels, et que, par conséquent, la plainte est fondée.
Enjeu 2 : Les mesures d’IRCC visant à éviter l’atteinte à la vie privée n’étaient pas suffisantes
- La Loi ne dit rien à propos des mesures que les institutions devraient prendre pour éviter la communication non autorisée de renseignements personnels au titre de l’article 8. Selon nous, une institution est tenue de prendre les mesures raisonnables qui sont appropriées en fonction de la nature sensible des renseignements et du risque de mauvaise utilisation (si une communication avait lieu). Cette attente s’harmonise avec les principes directeurs du Cadre stratégique de gestion du risque du Secrétariat du Conseil du Trésor (SCT), qui évalue et définit les incidences des risques pour l’institution grâce à un outil visant la protection des renseignements personnels, ainsi qu’à d’autres outils de gestion des atteintes à la vie privée mis au point pour aider à évaluer les incidences d’une atteinte, notamment l’Instrument d’évaluation de l’incidence des risques d’atteinte à la vie privée en matière d’AIPRPNote de bas de page 12.
- Nous avons donc examiné les mesures qu’IRCC avait en place au moment de l’atteinte pour assurer la protection des renseignements personnels lors du traitement des renseignements nécessaires à la prolongation des permis de travail au titre de la voie d’accès. Bien qu’IRCC ait soutenu qu’une erreur humaine soit à l’origine de l’atteinte à la vie privée, nous avons conclu qu’elle n’était pas causée par une erreur humaine isolée. Nous avons constaté qu’IRCC ne disposait pas de procédures ni de contrôles administratifs adéquats pour réduire le risque de communication accidentelle dans les circonstances (c’est-à-dire lors du traitement des renseignements personnels dans Excel pour un envoi de masse).
- Tout procédé utilisé pour appuyer un envoi de masse doit être assorti de procédures et de vérifications visant à favoriser le respect de ces procédures afin de réduire au minimum le risque d’erreur humaine. Bien qu’IRCC ait indiqué que le processus normal avait été suivi dans ce cas-ci (c’est-à-dire que les données opérationnelles étaient consignées dans un tableur Excel), le Ministère a confirmé que le processus d’application de filtres à chaque colonne n’était pas une procédure régulière et qu’il n’y avait pas d’instructions écrites précises à cet égard. Par conséquent, il n’y avait pas de mesures de protection en place qui auraient permis à l’employé de vérifier chaque étape du processus, ni de processus de surveillance pour veiller à ce que l’information soit vérifiée avant de l’utiliser pour l’envoi.
- IRCC a confirmé que l’employé chargé d’examiner et de préparer les données en vue de leur traitement a jugé qu’il était nécessaire de filtrer manuellement les données pour s’assurer que les personnes étaient admissibles à la mesure spéciale. Selon IRCC, il n’y a pas de procédure automatisée ou autre procédure qui serait normalement suivie pour valider les données. Dans le présent cas, l’erreur s’est produite parce que l’employé n’a pas appliqué manuellement un filtre à la colonne « adresse courriel » du tableur Excel.
- IRCC a soutenu que l’employé en question était expérimenté et connaissait les exigences de la politique d’intérêt public sur la voie d’accès. De plus, l’employé avait de l’expérience dans l’utilisation d’Excel et avait déjà effectué ce type de filtrage. IRCC a signalé que ce type d’erreur n’était jamais arrivé à l’employé auparavant, donc qu’un rappel de « vérifier que tous les filtres étaient en fonction » ne semblait pas nécessaire. Il n’y avait pas d’autres mesures de protection (par exemple, des listes de vérification) ou de procédures opérationnelles normalisées qui auraient permis à l’employé de vérifier chaque étape du processus. L’employé a poursuivi l’exercice en supposant que tout avait été fait correctement. IRCC a également noté qu’il y avait une date limite pour l’exercice, de sorte que l’employé n’avait pas eu le temps de vérifier la disposition du tableur avant que l’information soit utilisée pour l’envoi.
- IRCC a fait valoir que de la formation sur la plateforme Excel n’est pas requise pour les tâches quotidiennes de l’employé et que ce dernier n’avait suivi aucune formation de ce genre. En effet, IRCC a indiqué que l’employé était le plus renseigné et le plus expérimenté dans l’exécution de la tâche et qu’il avait de l’expérience dans l’utilisation des outils de filtrage et de tri dans Excel.
- Selon IRCC, l’atteinte n’a eu aucune incidence sur la capacité d’un client de continuer à travailler (c’est-à-dire que le statut d’un client n’était pas touché, et qu’il pouvait continuer à travailler au Canada selon les conditions de son permis de travail, et, pour les personnes admissibles, avec une prolongation de leur permis de travail). Néanmoins, lorsque des renseignements personnels sont communiqués par erreur, même s’ils ne sont communiqués qu’à une seule personne, il y a un risque d’utilisation abusive, car les intentions des récipiendaires des renseignements ne sont pas connues.
- IRCC a indiqué qu’à la suite de l’atteinte à la vie privée, toute liste de renseignements personnels sera vérifiée par plus d’une personne afin de réduire au minimum les risques d’erreur humaine. En fait, avant d’envoyer les courriels d’excuses aux personnes touchées, IRCC a confirmé que l’information avait été examinée de façon indépendante par deux employés distincts pour en assurer l’exactitude.
- À la lumière de ce qui précède, nous avons recommandé qu’IRCC mette en œuvre des mesures supplémentaires pour atténuer le risque que des communications accidentelles de cette nature se reproduisent en veillant à ce que les contrôles appropriés soient mis en place. Ces mesures devraient comprendre, au minimum, les éléments suivants :
- un examen des processus internes et des mesures de protection pour cerner les points faibles ou les lacunes dans les pratiques;
- l’élaboration d’une procédure opérationnelle normalisée ou d’un outil de travail « étape par étape » pour les employés responsables d’effectuer ces tâches (y compris la formation nécessaire et l’obligation de vérifier et de contre-vérifier le travail);
- la mise en œuvre de mesures de surveillance (comme l’intégration d’une règle de « second regard »); et
- une surveillance régulière de la conformité pour assurer la diligence raisonnable nécessaire afin de protéger les renseignements personnels.
- Depuis l’atteinte, IRCC a fait part au Commissariat des mesures supplémentaires qu’il prend pour éviter que d’autres atteintes à la vie privée semblables surviennent et assurer la protection des renseignements des clients. Ces mesures comprennent la mise à jour des procédures opérationnelles en vue d’y inclure une étape de surveillance qui exigera la contre-vérification des données des tableurs Excel avec celles du système pour s’assurer que les filtres sont appliqués correctement. De plus, IRCC a indiqué qu’il a intégré dans sa procédure des vérifications d’assurance de la qualité des données avant l’envoi de courriels de masse pour favoriser le respect des procédures et réduire au minimum le risque d’erreur humaine.
- À notre avis, il s’agit de mesures d’atténuation positives qui aideront IRCC à veiller au respect de ses obligations et des responsabilités qui lui incombent en matière de protection des renseignements personnels aux termes de la Loi.
Enjeu 3 : Les mesures prises par IRCC pour atténuer l’incidence de l’atteinte à la vie privée sur les personnes touchées étaient adéquates
- Selon la sous-section 4.2.4 de la Directive sur les pratiques relatives à la protection de la vie privée (la Directive), les responsables des institutions fédérales ou leurs délégués ont la responsabilité d’établir des plans régissant les atteintes à la vie privée au sein de leur institution. De plus, selon l’annexe B « Procédures obligatoires pour les atteintes à la vie privée » de la Directive, les institutions sont tenues, dans la mesure du possible, d’aviser toutes les personnes touchées « dans les meilleurs délais, pour leur permettre de prendre des mesures de protection ou d’atténuer les préjudices causés par […] les autres torts possibles »Note de bas de page 13. Nous notons également que le paragraphe 4.2.8 de la Politique sur la protection de la vie privée exige que les institutions signalent les atteintes substantielles à la vie privée au SCT et au Commissariat après avoir déployé des efforts pour limiter, évaluer et atténuer l’atteinte et au plus tard sept jours après que l’institution détermine que l’atteinte est substantielle.
- Les « procédures obligatoires de gestion des atteintes à la vie privée » d’IRCC (les procédures) comprennent un processus en sept étapes pour la gestion des atteintes à la vie privée qui y surviennent. Ce processus comprend une notification à la Division de la gestion du programme de protection des renseignements personnels (DGPP) d’IRCC, et exige que la DGPP évalue l’importance de l’atteinte à la vie privée et avise le Commissariat et le SCT en cas d’atteintes substantielles. Les procédures exigent également que le secteur de programme concerné avise les personnes touchées dans tous les cas, afin qu’elles puissent prendre les mesures nécessaires pour se protéger contre les dommages pouvant être causés par le vol d’identité ou tout autre préjudice possible, ou pour les atténuer, ce qu’IRCC a fait en l’espèce.
- IRCC a fait valoir qu’après avoir été avisé de l’atteinte par plusieurs personnes qui avaient reçu un courriel contenant les renseignements personnels d’une autre personne (dans les heures suivant l’envoi du courriel par le Ministère), des mesures ont rapidement été prises pour mettre fin aux avis. IRCC a soutenu que des mesures immédiates ont été prises pour gérer l’atteinte à la vie privée, notamment signaler l’atteinte à la direction, enquêter sur l’erreur et identifier les personnes touchées. IRCC a également effectué une évaluation des risques fondée sur les Lignes directrices sur les atteintes à la vie privéeNote de bas de page 14, qui comprenaient une évaluation du degré de sensibilité des renseignements personnels communiqués par erreur et de la probabilité que la communication cause un dommage ou un préjudice aux personnes touchées. IRCC a conclu que l’atteinte ne constituait pas une atteinte substantielle à la vie privée; toutefois, le Ministère a reconnu que les dommages causés par l’atteinte à la vie privée ne peuvent pas être réparés et a pris des mesures importantes pour communiquer avec toutes les personnes touchées par l’atteinte (comme l’exigent les procédures obligatoires de gestion des atteintes à la vie privée d’IRCC).
- Nous nous sommes penchés sur l’évaluation de l’atteinte à la vie privée faite par IRCC et nous acceptons que, dans les circonstances de la présente affaire, il ne s’agissait pas d’une atteinte substantielle, étant donné le faible risque de préjudice pour les personnes touchéesNote de bas de page 15. Toutefois, nous avons fait remarquer à IRCC que les éléments contextuels peuvent avoir une incidence sur le caractère sensible des renseignements qui font l’objet d’une atteinte à la vie privée, et que, dans d’autres circonstances, une atteinte semblable peut présenter un risque réel de préjudice graveNote de bas de page 16 pour les personnes, particulièrement dans le contexte du mandat d’IRCC et du volume élevé de renseignements personnels sensibles qu’il traite. Cette situation souligne l’importance de veiller à ce que des mesures de protection adéquates soient mises en place pour protéger les renseignements personnels et atténuer le risque de communication non autorisée de ceux-ci.
- L’évaluation faite par IRCC a révélé que les personnes touchées par l’atteinte pouvaient être classées dans quatre catégories différentes :
- une personne dont les renseignements personnels ont été envoyés à une autre personne;
- une personne qui a reçu les renseignements personnels d’une autre personne;
- une personne dont les renseignements personnels ont été envoyés à une autre personne et qui a reçu les renseignements personnels d’une autre personne; et
- un représentant en immigration qui a reçu les renseignements personnels d’une personne qui n’est pas son client.
- Dans le courriel d’excuses, IRCC informait les personnes touchées de l’atteinte à la vie privée et s’excusait de l’erreur et des inconvénients que la situation aurait pu causer. Dans le cas des personnes qui ont reçu par erreur les renseignements personnels d’une autre personne, le Ministère leur a demandé de ne pas communiquer le courriel ou les renseignements à d’autres personnes et de supprimer le courriel en question afin de protéger la vie privée de la personne dont les renseignements ont été communiqués par erreur. IRCC a également fourni des conseils et de l’information sur le format des courriels envoyés par le gouvernement du Canada et sur la façon de reconnaître les courriels ou les appels d’hameçonnage afin de mettre en évidence les préjudices potentiels dont le destinataire n’a peut-être pas tenu compte. Le courriel comportait également une nouvelle lettre contenant les renseignements exacts et les détails concernant la mesure spéciale (c’est-à-dire la prolongation du permis de travail). IRCC a avisé par courriel toutes les personnes touchées par l’atteinte à la vie privée entre le 10 et le 11 août 2022.
- À notre avis, les mesures prises par IRCC en réponse à l’atteinte étaient adéquates : l’avis aux personnes touchées est une pratique importante lorsqu’une atteinte à la protection des renseignements personnels se produit, et constitue une stratégie d’atténuation clé pour réduire les dommages et les répercussions négatives de l’atteinte.
- En dépit de l’avis, les risques pour les personnes touchées ne peuvent pas être entièrement éliminés après une atteinte à la protection des renseignements personnels de cette nature. Par conséquent, nous avons fait savoir à IRCC qu’il est impératif de renforcer ses mesures de prévention et d’atténuation pour veiller à ce qu’un incident semblable ne se reproduise pas. Comme il est indiqué dans les procédures d’IRCC, les mesures d’atténuation visant à prévenir la répétition d’une atteinte à la vie privée peuvent nécessiter d’apporter des changements aux processus internes ou aux mesures de protection, en particulier lorsque l’évaluation de l’atteinte révèle des points faibles au chapitre des plans et des pratiques d’un secteur de programme. Par conséquent, comme nous l’avons souligné à IRCC dans le cadre d’une enquête portant sur une atteinte à la vie privée survenue en 2022Note de bas de page 17, le Ministère doit :
- mettre en place des procédures et des mesures de protection robustes dans le cadre de son architecture de sécurité afin de veiller à ce qu’une erreur humaine n’entraîne pas automatiquement une atteinte; et
- évaluer de façon continue ses mécanismes de prévention pour atténuer le risque d’une communication accidentelle.
Conclusions et recommandations
- Étant donné que la communication de renseignements dans le cas présent a été faite de façon erronée, sans fin acceptable, nous concluons qu’IRCC a enfreint l’article 8 de la Loi et que la plainte est fondée.
- Notre examen a révélé qu’IRCC a eu recours à d’importantes stratégies d’atténuation pour réduire l’incidence de l’atteinte à la vie privée sur les personnes touchées, notamment en les avisant et en demandant que les courriels reçus par erreur soient supprimés. Cependant, nous avons constaté qu’il y avait des lacunes dans les pratiques d’IRCC et que les mesures en place pour prévenir l’atteinte à la vie privée étaient insuffisantes.
- Compte tenu de ce qui précède, afin de régler la question, nous avons recommandé qu’IRCC examine ses processus internes et ses mesures de protection afin de cerner les points faibles ou les lacunes dans ses pratiques et de mettre en œuvre des mesures visant à atténuer le risque que des communications accidentelles de cette nature se reproduisent en veillant à ce que les contrôles appropriés soient en place. Les mesures particulières recommandées étaient les suivantes :
- l’élaboration d’une procédure opérationnelle normalisée ou d’un outil de travail « étape par étape » pour les employés responsables d’effectuer ces tâches, y compris la formation nécessaire et l’obligation de contre-vérifier le travail;
- la mise en œuvre de mesures de surveillance (comme l’intégration d’une règle de « second regard »); et
- une surveillance régulière de la conformité pour assurer la diligence raisonnable nécessaire afin de protéger les renseignements personnels.
- IRCC a accepté toutes nos recommandations et a mis en œuvre des mesures supplémentaires pour atténuer le risque que des communications accidentelles de cette nature se reproduisent. Il convient de souligner qu’IRCC a ajouté une étape de surveillance à ses procédures opérationnelles, qui exige la contre-vérification des données des tableurs Excel avec celles du système pour s’assurer que les filtres sont appliqués correctement. IRCC a également intégré des vérifications d’assurance de la qualité des données avant l’envoi de courriels de masse afin d’assurer et de favoriser le respect des procédures et de réduire au minimum le risque d’erreur humaine. À notre avis, ces mesures supplémentaires amélioreront considérablement les efforts d’IRCC en matière de prévention des atteintes pour éviter qu’un incident semblable ne se reproduise.
- D’après l’information que nous avons reçue d’IRCC et les mesures qui ont été prises pour mettre en œuvre nos recommandations, nous considérons maintenant que cette question est résolue.
- Date de modification :