Communiqué
Des enquêtes révèlent le besoin de mesures plus robustes pour protéger la vie privée dans les ministères et organismes du gouvernement fédéral
Gatineau (Québec), le 15 février 2024 – Deux enquêtes distinctes sur le traitement de renseignements personnels dans des ministères et organismes du gouvernement fédéral soulignent le besoin de mesures de sécurité plus robustes et d’une vigilance accrue pour mieux protéger la vie privée des Canadiennes et des Canadiens.
Dans les deux rapports spéciaux qui ont été déposés au Parlement aujourd’hui, le Commissaire à la protection de la vie privée du Canada a publié ses conclusions à propos d’une paire d’enquêtes portant sur les sujets suivants :
- Une atteinte grave à la vie privée visant Emploi et Développement social Canada (EDSC) et l’Agence du revenu du Canada (ARC) mettant en cause de grandes quantités de renseignements personnels sensibles;
- Le recours par la Gendarmerie royale du Canada (GRC) à des services de surveillance et de suivi offerts par le secteur privé dans le cadre de son mandat d’application de la loi.
Cyberattaques visant l’Agence du revenu du Canada et CléGC
Le Commissariat à la protection de la vie privée du Canada a mené une enquête sur des cyberattaques visant l’ARC et EDSC qui ont eu lieu entre juillet et août 2020, lesquelles ont permis à des pirates informatiques d’accéder de manière frauduleuse à des services du gouvernement et de présenter des demandes de prestations ou de détourner des paiements à leur intention. L’attaque a compromis les renseignements financiers, banquiers et sur l’emploi de nature sensible de dizaines de milliers de Canadiennes et de Canadiens, donnant lieu à de nombreux cas de fraudes et de vols d’identité – dont un grand nombre de demandes frauduleuses pour la Prestation canadienne d’urgence (PCU) dans le cadre de la COVID-19. À la suite de l’atteinte, l’ARC et EDSC ont avisé les individus touchés et ont travaillé avec eux pour annuler les modifications frauduleuses, leur offrir des services de surveillance du crédit et les aider à blanchir leur nom.
L’enquête sur la vie privée menée par le Commissariat a révélé que les pirates ont pu exploiter des failles dans les mesures de protection d’EDSC et de l’ARC.
Dans le rapport de conclusions, on explique entre autres comment les pirates ont utilisé le portail de connexion de l’ARC et le service d’authentification « CléGC » d’EDSC pour s’infiltrer dans leurs services en ligne au moyen d’identifiants volés (comme leurs données d’accès et leurs mots de passe) obtenus lors d’atteintes antérieures – une technique appelée « bourrage d’identifiants ». Les pirates se sont servis des identifiants volés pour accéder à des comptes en ligne, les modifier ou en créer de nouveaux à partir de ces identités volées, causant bon nombre de préjudices comme des difficultés financières, des dommages aux cotes de solvabilité, des atteintes à la vie privée et du stress psychologique.
« Les ministères et organismes du gouvernement fédéral sont des cibles de choix lors des cyberattaques et ils doivent mettre en place des mesures de protection rigoureuses pour limiter les atteintes et protéger les renseignements personnels sensibles qu’ils détiennent ainsi que les programmes qu’ils administrent », a affirmé le Commissaire à la protection de la vie privée du Canada, Philippe Dufresne. « En cas d’atteinte à la vie privée, il est primordial que les organisations soient prêtes à réagir rapidement pour remédier à la situation et éviter tout autre préjudice pour les personnes touchées », a‑t‑il ajouté.
Le Commissariat a conclu que les deux organisations avaient sous-évalué le niveau de validation de l’identité requis pour leurs programmes et services en ligne compte tenu de la nature sensible des renseignements personnels en cause. De plus, EDSC et l’ARC ne disposaient pas de mesures de surveillance adéquates visant à détecter l’atteinte et à la limiter rapidement, notamment en raison du caractère inadéquat de leurs évaluations de sécurité et de leurs essais visant leurs systèmes de gestion de l’authentification et des justificatifs d’identité, et de lacunes au chapitre de la responsabilité et de l’échange de renseignements entre les organisations.
Les deux organisations ont accepté de mettre en œuvre les recommandations du Commissariat, notamment celles d’améliorer leurs cadres de communication et de prise de décisions en vue de réagir rapidement aux attaques et d’élaborer des processus complets d’intervention en cas d’incident afin de prévenir les atteintes futures, de les détecter, de les limiter et de les atténuer, notamment en menant des évaluations régulières de la sécurité.
Projet Wide Awake de la Gendarmerie royale du Canada
Le Commissariat a mené une enquête sur le projet Wide Awake (PWA) de la Gendarmerie royale du Canada (GRC), dans le cadre duquel cette dernière a recours aux services d’un tiers pour recueillir des renseignements personnels provenant de diverses sources, dont les médias sociaux, le Web caché, des services basés sur la localisation et des bases de données privées payantes.
À la suite de son enquête, le Commissariat a conclu que la GRC doit améliorer ses processus d’évaluation des services de surveillance et de suivi offerts par le secteur privé avant d’y avoir recours. Des préoccupations semblables avaient été soulevées dans une enquête antérieure du Commissariat sur l’utilisation par la GRC de la technologie de reconnaissance faciale de Clearview IA.
L’entente que la GRC a prise avec l’entreprise américaine Babel Street pour l’utilisation de sa plateforme Babel X est particulièrement préoccupante. L’enquête du Commissariat a permis de conclure que la GRC n’a pas pris les mesures nécessaires pour veiller à ce que la collecte de renseignements personnels faite par l’entreprise se déroule dans le respect des lois sur la protection des renseignements personnels au Canada.
« Le maintien de l’ordre est un travail important et complexe qui nécessite des outils efficaces qui sont conçus pour l’environnement numérique d’aujourd’hui », a déclaré le Commissaire Dufresne. « Un examen rigoureux des services qui ont une incidence sur la vie privée et qui sont offerts par un tiers est essentiel pour s’assurer que le droit fondamental à la vie privée est respecté », a‑t‑il ajouté.
Le Commissariat a recommandé à la GRC de réaliser des évaluations exhaustives pour obtenir un niveau d’assurance raisonnable que les services fournis par un tiers auxquels elle a recours respectent les lois pertinentes sur la protection des renseignements personnels. On a également recommandé à la GRC de faire preuve de plus de transparence envers les Canadiennes et les Canadiens en ce qui a trait à la collecte de renseignements personnels qu’elle effectue dans le cadre de la collecte du renseignement de source ouverte et à propos des fins auxquelles les différents types de renseignements recueillis pourraient être utilisés.
Au terme de l’enquête, la GRC ne s’était pas engagée à mettre en œuvre les recommandations du Commissariat.
Documents connexes
- Enquête sur la communication et la modification non autorisées de renseignements personnels détenus par l’Agence du revenu du Canada et Emploi et Développement social Canada découlant de cyberattaques – Rapport spécial au Parlement
- Enquête sur la collecte de renseignements de sources ouvertes par la Gendarmerie royale du Canada dans le cadre du projet Wide Awake – Rapport spécial au Parlement
Renseignements
Commissariat à la protection de la vie privée du Canada
communications@priv.gc.ca
- Date de modification :