Sélection de la langue

Recherche

Communiqué

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Le commissaire à la protection de la vie privée demande au gouvernement de faire davantage pour prévenir les atteintes à la sécurité des données et à la vie privée

Le Rapport annuel au Parlement concernant la Loi sur la protection des renseignements personnels – 2014-2015 met en évidence les résultats d’une vérification portant sur la gestion des dispositifs de stockage portables par le gouvernement et les atteintes à la sécurité des données déclarées.

GATINEAU (Québec), le 10 décembre 2015 – Le commissaire à la protection de la vie privée du Canada exhorte les ministères et les organismes fédéraux à élaborer et à mettre en œuvre des procédures et des mesures plus rigoureuses pour protéger les renseignements personnels des Canadiens.

Le commissaire a lancé cet appel aujourd’hui, à l’occasion du dépôt du Rapport annuel au Parlement concernant la Loi sur la protection des renseignements personnels – 2014-2015. Le rapport souligne le nombre record d’atteintes à la sécurité des données détenues par le gouvernement fédéral déclarées au Commissariat et présente les résultats d’une vérification portant sur la gestion des dispositifs de stockage portables par le gouvernement.

« De nombreuses institutions ont fait des progrès en vue de renforcer la protection des renseignements personnels, a indiqué Daniel Therrien, commissaire à la protection de la vie privée du Canada. Toutefois,  les déclarations d’atteinte à la sécurité des données que nous avons reçues, les résultats de nos enquêtes et les résultats de notre récente vérification montrent qu’il y a encore grandement matière à amélioration. »

En 2014-2015, les institutions fédérales ont déclaré au Commissariat 256 atteintes à la sécurité des données. Il s’agit d’une hausse par rapport aux 228 atteintes déclarées au cours de l’exercice précédent – lesquelles étaient deux fois plus nombreuses comparativement à l’exercice antérieur. Comme par le passé, la communication accidentelle constituait la principale cause de ces incidents. Or, il s’agit d’un risque que l’adoption de procédures plus rigoureuses permettrait souvent d’atténuer.

C’est au cours du dernier exercice que, pour la première fois, les institutions étaient tenues de déclarer les atteintes à la sécurité des données au commissaire à la protection de la vie privée. Auparavant, les déclarations étaient faites sur une base volontaire.

« La protection efficace des renseignements personnels représente un défi que l’on ne doit pas sous-estimer, a déclaré le commissaire. Par ailleurs, étant donné que les Canadiens doivent fournir des renseignements très sensibles aux ministères et aux organismes fédéraux, le devoir de diligence du gouvernement revêt une importance cruciale. »   

Le rapport annuel comprend les détails d’une vérification effectuée récemment, selon laquelle les lacunes constatées dans la gestion par le gouvernement fédéral des dispositifs de stockage portables, comme les clés USB, peuvent mettre en péril les renseignements personnels des Canadiens.

Selon les conclusions de la vérification, même si les institutions fédérales ont mis en place des politiques, des processus et des mécanismes de contrôle à l’égard des dispositifs de stockage portables, il y a encore beaucoup d’améliorations à apporter afin de réduire les risques d’atteinte à la sécurité des données.

Les dispositifs de stockage portables sont pratiques parce qu’ils peuvent contenir une énorme quantité de données et qu’ils sont généralement de petite taille et très faciles à transporter. Or, ce sont précisément ces attributs qui créent des risques importants pour la sécurité des données et la vie privée.

« Ces dispositifs peuvent facilement être perdus, égarés ou volés. En l’absence de contrôles appropriés, les institutions fédérales exposent les renseignements personnels des Canadiens à un risque de perte ou d’accès non autorisé », a affirmé le commissaire Therrien.

La vérification visait à répondre aux préoccupations suscitées par de nombreuses atteintes à la sécurité des données au sein du gouvernement fédéral mettant en cause des dispositifs de stockage portables, notamment un incident survenu en 2012 au cours duquel on a perdu un disque dur portable où étaient stockés les renseignements personnels de près de 600 000 bénéficiaires de prêts d’études.

La vérification, qui comprenait un examen détaillé de 17 institutions, a permis de relever de nombreuses préoccupations, entre autres :

  • plus des deux tiers (70 %) des institutions n’avaient pas évalué en bonne et due forme les risques associés à l’utilisation de tous les types de dispositifs de stockage portables;
  • plus de 90 % n’avaient pas effectué un suivi de l’ensemble des dispositifs de stockage portables tout au long de leur cycle de vie;
  • plus de 85 % ne tenaient pas de registre confirmant que les données conservées sur les dispositifs de stockage portables excédentaires ou défectueux avaient été détruites de façon sécuritaire;
  • le quart n’exigeait pas l’utilisation de dispositifs de stockage USB cryptés;
  • les deux tiers n’avaient pas mis en place de contrôles techniques empêchant le branchement de dispositifs de stockage portables non autorisés (par exemple, des dispositifs personnels) à leurs réseaux, et plus de la moitié (55 %) n’avait pas évalué les risques d’atteinte à la sécurité des données découlant de l’absence de tels contrôles.

La vérification a aussi fait ressortir des lacunes dans les paramètres de sécurité pour protéger les données stockées sur les téléphones intelligents au sein de certaines entités ayant fait l’objet de la vérification. Mentionnons notamment l’absence de cryptage, de paramètres assurant que les mots de passe sont difficiles à deviner ou de contrôles empêchant l’installation d’applications non autorisées. 

Les institutions ayant fait l’objet de la vérification ont accepté toutes les recommandations formulées. 

« Nous espérons que toutes les institutions fédérales tiendront compte de la vérification et de ses recommandations concernant les dispositifs de stockage portables, a indiqué le commissaire. La vérification fait état de mesures préventives qui peuvent et doivent être prises afin de réduire les atteintes à la vie privée. Il faut renforcer la vigilance en ce qui concerne la protection des renseignements personnels que les Canadiens confient au gouvernement fédéral. »

À propos du Commissariat à la protection de la vie privée du Canada

Le Parlement a confié au Commissariat à la protection de la vie privée du Canada le mandat d’agir à titre d’ombudsman et de gardien du droit à la vie privée au Canada. Le commissaire est responsable de l’application de deux lois fédérales relatives à la protection des renseignements personnels : la Loi sur la protection des renseignements personnels, qui s’applique au secteur public fédéral, et la Loi sur la protection des renseignements personnels et les documents électroniques, qui s’applique aux organisations du secteur privé.

- 30 -

Voir également :

Rapport annuel au Parlement concernant la Loi sur la protection des renseignements personnels — 2014-2015

Conseils à l’intention des institutions fédérales sur l’utilisation des dispositifs de stockage portatifs

Vérification – Protection de la vie privée et dispositifs de stockage portables

Conclusions en vertu de la Loi sur la protection des renseignements personnels 2014-2015

Pour obtenir de plus amples renseignements, communiquer avec :

Valerie Lawton, Commissariat à la protection de la vie privée du Canada
Courriel : valerie.lawton@priv.gc.ca
REMARQUE : Pour nous permettre de leur répondre plus rapidement, les journalistes sont priés d’envoyer par courriel toute demande d’entrevue ou de renseignements supplémentaires.

Date de modification :