Bulletin d’interprétation : Mesures de sécurité

L’un des principaux rôles du commissaire consiste à enquêter sur des plaintes en matière de protection de la vie privée déposées contre des organisations et à tenter de les résoudre. Ses conclusions varieront selon les faits propres à chaque affaire et la jurisprudence produite au fil du temps. Les conclusions au sujet de certaines questions clés se cristallisent pour former des principes généraux pouvant servir de lignes directrices utiles aux organisations.

Dans ses efforts visant à résumer les principes généraux qui se sont dégagés des décisions judiciaires et des conclusions du commissaire, le Commissariat publie des bulletins d’interprétation de certains concepts clés de la LPRPDE. Ces derniers n’ont pas force exécutoire, mais servent plutôt d’orientation à des fins de conformité à la LPRPDE. À mesure que le commissaire émet d’autres conclusions et que les tribunaux rendent d’autres décisions, ces bulletins d’interprétation peuvent évoluer et se préciser.

I. Dispositions législatives pertinentes de la LPRPDE

Principe 4.7 : Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Principe 4.7.1 : Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol, ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisée. Les organisations doivent protéger les renseignements personnels, quelle que soit la forme sous laquelle ils sont conservés.

Principe 4.7.2 : La nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus délicats doivent être protégés à un plus haut niveau. La notion de sensibilité est présentée à l’article 4.3.4.

Principe 4.7.3 : Les méthodes de protection devraient comprendre :
(a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux;
(b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif;
(c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.

Principe 4.7.4 : Les institutions doivent sensibiliser leur personnel à l’importance de protéger le caractère confidentiel des renseignements personnels.

Principe 4.7.5 : Au moment du retrait ou de la destruction des renseignements personnels, on doit veiller à empêcher les personnes non autorisées d’y avoir accès (article 4.5.3).

II. Interprétations générales des tribunaux

1. Les enregistrements vidéo qui sont conservés dans un endroit verrouillé et uniquement accessibles par les gestionnaires responsables ou des policiers d’entreprise à la suite d’un incident signalé font l’objet de mesures de sécurité adéquates. Les enregistrements vidéo qui ne contiennent aucun incident devraient être détruits dans un délai approprié. (Eastmond c. Canadien Pacifique Ltée, 2004 CF 852  No 1043)
2. Le bien-fondé d’une mesure de sécurité doit être évalué en fonction des circonstances existantes, non en fonction de possibles nouveaux usages des technologies existantes ou des technologies qui ne sont pas encore disponibles. (Turner c. Telus Communications Inc., 2005 CF 1601 No 1981)
3. Une organisation peut mettre en œuvre des mesures de sécurité qui englobent les renseignements personnels à caractère biométrique à condition que l’information soit protégée de manière appropriée. Dans ce cas, les renseignements étaient suffisamment protégés par la conversion d’une empreinte vocale en une matrice de chiffres protégée par d’importantes mesures de sécurité. (Turner c. Telus Communications Inc., 2005 CF 1601 No 1981)
4. En soi, la divulgation de renseignements personnels ne peut être considérée comme une preuve que les mesures de sécurité sont insuffisantes. Dans ce cas, les renseignements médicaux personnels du demandeur ont été expédiés à une mauvaise adresse et à un conseiller non autorisé en raison d’une erreur administrative. (Townsend c. Financière Sun Life, 2012 CF 550 No 777)

III. Application par le Commissariat dans divers contextes

La question de savoir si une organisation satisfait aux obligations que la LPRPDE lui impose en matière de mesures de sécurité dépend des faits de chaque enquête relative à une plainte. Les exemples suivants illustrent la manière dont le principe de responsabilité de la sécurité a été interprété et appliqué par le Commissariat ainsi que certaines des conclusions générales qu’il a tirées dans différents contextes.

Politiques, pratiques et méthodes

• Les organisations doivent mettre en place des mesures de sécurité proportionnelles au niveau de sensibilité des renseignements personnels à protéger.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2001-5 Sûreté du service téléphonique automatisé d’une banque
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2002-72 Entreprise de télécommunications améliore ses pratiques de collecte et de communication
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-177 : Une banque laisse un ordinateur connecté dans une aire publique; une cliente obtient des renseignements sensibles relatifs à un compte personnel sans mot de passe
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-180 : Une banque utilise à des fins de formation non identifiée l’enregistrement sur bande sonore d’une conversation téléphonique avec un client sans l’avertir; l’enregistrement est communiqué à un autre client
  • Résumé de conclusions d’enquête en vertu de la LPRPDE 2012-009 : Des renseignements personnels sont communiqués sans consentement dans un message téléphonique laissé sur le lieu de travail d’une cliente
  • Rapport de conclusions en vertu de la LPRPDE no 2014-003 : Une compagnie d’assurance révise ses mesures de sécurité à la suite d’une atteinte à la vie privée
• Pour être efficaces, les politiques et les pratiques en matière de protection doivent être respectées avec diligence et de manière cohérente.
  • Rapport de conclusions en vertu de la LPRPDE no 2012-004 : Une faille dans le processus d’authentification permet à un imposteur de détourner un compte de téléphonie mobile
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-190 : Une banque ouvre le courrier d’un ancien employé
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2005-289 : Le vol d’un ordinateur portatif met en cause la responsabilité d’une banque
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2008-393 : Le vol d’un ordinateur portatif dans une banque et le délai considérable avant d’informer les victimes étaient tous les deux évitables
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2008-395 : La commissaire dépose une plainte relative aux mesures de protection contre la CIBC
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2013-015 : Une agence de rencontres en ligne a utilisé sans son consentement les renseignements personnels d’un ancien client et a refusé de lui donner accès à cette information
  • Exemple de plainte réglée en cours d’enquête no 2014-001 : Image du passeport d’une cliente jointe par inadvertance à un courriel promotionnel d’une agence de voyages
  • Rapport de conclusions en vertu de la LPRPDE no 2012-004 : Une faille dans le processus d’authentification permet à un imposteur de détourner un compte de téléphonie mobile
• Les organisations doivent élaborer et mettre en œuvre des procédures pour assurer l’élimination sécuritaire des renseignements personnels.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2002-72 : Une entreprise de télécommunications améliore ses pratiques de collecte et de communication
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-128 : Une compagnie aérienne est accusée de recueillir trop de renseignements pour les autorités américaines
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2006-356 : Les renseignements personnels bancaires d’un client sont trouvés dans un bac de recyclage
• Une des meilleures pratiques de sécurité qu’une organisation peut avoir est de ne pas recueillir ou conserver de renseignements personnels inutiles.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE (2007) TJX Companies Inc./Winners Merchant International L.P.
• Les organisations qui recueillent des renseignements personnels par erreur doivent les conserver en toute sécurité jusqu’à ce qu’ils puissent être éliminés correctement – et en toute légalité.
  • Rapport de conclusions en vertu de la LPRPDE no 2011-001 : La collecte de données Wi-Fi par Google Inc.
• La protection adéquate des renseignements personnels inclut des pratiques de tenue de dossiers diligentes et précises qui documentent clairement les autorisations originales ainsi que les utilisations ou divulgations irrégulières.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2005-299 : Un voleur encaisse un chèque de dépannage tiré sur un compte de crédit annulé
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-378 : Une caissière de banque communique des relevés de compte d’un détenteur de carte de crédit à l’épouse de ce dernier
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-380 : Les pratiques de tenue de dossiers d’une banque offrent une protection inadéquate des renseignements personnels
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-381 : La banque rehausse ses mesures de sécurité après que les renseignements personnels d’une personne aient été utilisés par un imposteur pour ouvrir un compte de carte de crédit
• Les organisations qui recueillent des renseignements personnels sur les clients doivent recueillir et conserver ces renseignements de manière à empêcher les clients de voir ou d’entendre les renseignements personnels des autres clients.
  • Exemple de plainte réglée en cours d’enquête no 29 : Un grand magasin modifie son processus de collecte de renseignements personnels liés à l’exemption de la taxe de vente provinciale
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2005-304 : Une chaîne de cinémas améliore ses pratiques en matière de traitement des renseignements personnels
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-245 : Une banque est accusée d’avoir recueilli inutilement des renseignements personnels et de les avoir communiqués

Les renseignements plus sensibles devraient être mieux protégés

• Les renseignements sur la paie sont considérés comme des renseignements personnels très sensibles exigeant une plus grande protection. Afin d’être protégés de manière appropriée, personne ne doit y avoir accès sauf certains employés autorisés.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-190 : Une banque ouvre le courrier d’un ancien employé
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-242 : Un homme s’oppose à ce que des travailleurs assignés temporairement traitent les renseignements liés à la paye
• Les renseignements médicaux, notamment sur les diagnostics particuliers, sont l’une des catégories de renseignements personnels les plus sensibles et ils doivent faire l’objet de mesures de sécurité rigoureuses.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-226 : L’entreprise recueille sans raison valable des renseignements médicaux; les mesures de sécurité sont insuffisantes
  • Rapport de conclusions en vertu de la LPRPDE no 2013-003 : Des profils affichés sur le site de rencontres PositiveSingles.com se retrouvent sur d’autres sites Web de rencontres affiliés
• Les numéros d’assurance sociale sont des renseignements personnels confidentiels qui ne doivent pas être utilisés pour l’identification générale; l’accès à ces numéros doit être limité aux employés qui en ont besoin à des fins légitimes.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2002-69 : Une employée proteste contre l’utilisation par une compagnie des numéros d’assurance sociale sur des formulaires
• Les renseignements personnels touchant le rendement d’un employé au travail exigent une protection particulière parce qu’ils sont très sensibles.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-228 : Une compagnie de transport a communiqué des renseignements personnels concernant un employé sans son consentement
    
• La vidéodiffusion en direct sur Internet de très jeunes enfants est considérée comme de l’information extrêmement sensible pouvant exiger des mesures de sécurité renforcées, notamment des garanties contractuelles et technologiques améliorées.
  • Rapport de conclusions en vertu de la LPRPDE no 2011-008 : Une garderie modifie son système de surveillance par cybercaméra pour améliorer la protection de la vie privée
• Le niveau de sensibilité des données biométriques dépendra du type de données biométriques et de la technologie utilisée; la sévérité des mesures de sécurité adoptées pour protéger les données biométriques doit être adaptée en conséquence.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2004-281 : Une organisation utilise la biométrie à des fins d’authentification
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2008-389 : Enquête concernant le Law School Admission Council
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2010-007 : L’administrateur d’un examen revoit ses mesures visant à prévenir la fraude
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2011-012 : Une candidate au GMAT s’oppose à l’utilisation de la technologie de reconnaissance du réseau veineux de la paume de sa main

Formation des employés

• Les organisations doivent communiquer leurs procédures en matière de mesures de sécurité à leurs employés et fournir une formation aux employés afin de s’assurer que ces procédures sont mises en œuvre correctement.
  • Rapport de conclusions en vertu de la LPRPDE no 2012-009 : Des renseignements personnels sont communiqués sans consentement dans un message téléphonique laissé sur le lieu de travail d’une cliente
  • Rapport de conclusions en vertu de la LPRPDE no 2011-001 : La collecte de données Wi-Fi par Google Inc.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2002-54 : Un couple prétend qu’il y a eu communication inappropriée de leur dossier téléphonique à un tiers

Organismes tiers

• Les organisations qui transfèrent des renseignements personnels de leurs clients à des tiers doivent s’assurer que ces tiers ont des mesures de sécurité appropriées en place afin d’assurer la protection des renseignements personnels.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-377 : De mauvaises pratiques en matière de protection des renseignements personnels d’un cabinet d’avocats causent la perte de renseignements personnels; une demande d’accès refusée
• Les organisations qui donnent accès aux profils en ligne de leurs clients à des tiers doivent mettre en place des mesures de sécurité technologiques pour s’assurer que ces renseignements sont adéquatement protégés et utilisés uniquement aux fins prévues.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2009-008 : Rapport de conclusions de l’enquête menée à la suite de la plainte déposée par la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC) contre Facebook Inc. aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques par Elizabeth Denham, commissaire adjointe à la protection de la vie privée du Canad
  • Rapport de conclusions d’enquête en vertu de la LPRPDE no 2014-011 : Enquête sur les pratiques de traitement des renseignements personnels de Ganz Inc.

Identification et autorisation des clients

• Les organisations doivent mettre en place des mesures de sécurité et respecter des procédures appropriées pour l’authentification des clients afin d’empêcher des tiers non autorisés d’avoir accès aux renseignements personnels.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-372 : Les communications aux courtiers en données exposent les faiblesses des mesures de sécurité en télécommunications
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-381 : La banque rehausse ses mesures de sécurité après que les renseignements personnels d’une personne aient été utilisés par un imposteur pour ouvrir un compte de carte de crédit
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2005-292 : Un ancien employeur a changé les renseignements relatifs à un membre du programme pour voyageurs fréquents d’Air Canada
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2006-344 : Le coffret de sûreté d’un couple ouvert par erreur
  • Rapport de conclusions en vertu de la LPRPDE no 2012-004 : Une faille dans le processus d’authentification permet à un imposteur de détourner un compte de téléphonie mobile
  • Rapport de conclusions en vertu de la LPRPDE no 2012-006 : Le défaut de suivre les procédures de validation d’identité a permis à un imposteur de modifier un contrat de téléphonie cellulaire à l’insu et sans le consentement du client
• Les organisations doivent être particulièrement attentives pour assurer la sécurité des renseignements personnels dans des situations touchant des relations familiales, des détenteurs de compte conjoint, des personnes vivant sous le même toit ou ayant des noms similaires.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2006-329 : Une entreprise de téléphonie sans fil améliore ses mesures de protection dans les cas de rupture entre les titulaires d’un compte conjoint
  • Exemple de plainte réglée en cours d’enquête no 14 : Communication de renseignements personnels à l’ex-conjoint d’une cliente
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2002-100 : Une femme accuse sa banque d’avoir donné à sa mère des renseignements sur son compte bancaire
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2002-108 : Une femme accuse une banque d’avoir communiqué des renseignements sur sa carte de crédit à son conjoint
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-150 : Une agence de crédit est accusée de communication inappropriée de renseignements personnels
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-254 : Sa fille accumule des frais d’interurbain; la mère blâme la compagnie de téléphone
  • Rapport de conclusions en vertu de la LPRPDE no 2011-007 : Une société automobile ne corrige pas les erreurs figurant dans le dossier d’un client et ne fournit pas un accès convenable
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-378 : Une caissière de banque communique des relevés de compte d’un détenteur de carte de crédit à l’épouse de ce dernier
  • Résumé des conclusions de plainte réglée rapidement no 3 : Une entreprise de services publics dont le système informatique contenait des renseignements désuets envoie par erreur la facture d’un client à son ex conjointe
  • Guide pour la gestion des comptes des membres d’une famille ou d’un ménage
• Exiger une preuve d’identité peut être une mesure de sécurité raisonnable pour les renseignements personnels des clients contre l’accès non autorisé, même si un client s’y oppose.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2001-27 : Un homme conteste en principe le programme d’identification de la banque
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2006-324 : Un consommateur se plaint de devoir fournir des pièces d’identité afin d’obtenir son rapport de solvabilité

Courrier, courriel et télécopieur

• Les organisations qui acheminent des renseignements personnels par courrier ou par télécopieur doivent mettre en place des mesures de sécurité permettant de confirmer que seuls les renseignements personnels du client sont expédiés et qu’ils le sont à l’adresse ou au numéro de télécopieur approprié afin d’éviter une divulgation non autorisée des renseignements personnels à des tiers.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2002-28 : Une banque envoie des bulletins de paie de clients à la mauvaise personne
  • Résumé d’incident no 2 : Défaillance des pratiques de la CIBC en matière de protection des renseignements personnels lors d’envois de documents par télécopieur
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2006-332 : Une banque communique de nouvelles directives et sensibilise ses employés après que des renseignements sur des clients eurent été envoyés par télécopieur au mauvais destinataire
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2006-335 : Un client reçoit des renseignements sur les comptes bancaires d’autres clients
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2006-337 : Une entreprise de production de déclarations de revenus envoie des renseignements personnels aux mauvais clients
  • Résumé d’incident no 3 : Documents acheminés par télécopieur aux mauvaises personnes
• Au moment d’acheminer des renseignements personnels par courrier, les organisations doivent s’assurer qu’aucun renseignement personnel n’est visible par la fenêtre de l’adresse sur l’enveloppe.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2002-33 : Une banque offre un bon-cadeau de 20 $ en guise d’indemnisation pour violation des renseignements personnels
  • Exemple de plainte réglée en cours d’enquête no 9 : Fenêtres qui révèlent beaucoup trop de renseignements
  • Résumé d’incident no 5 : Une compagnie d’assurance-vie met en place des pratiques exemplaires à la suite d’une erreur commise dans le cadre d’un envoi postal massif qui risquait d’exposer des renseignements personnels
• Lors de l’expédition de renseignements personnels par courrier, les enveloppes qui sont scellées par une machine doivent être vérifiées pour s’assurer qu’elles ont été correctement scellées avant d’être mises à la poste.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-154 : Consternation chez un couple qui reçoit une enveloppe non scellée de sa banque
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-197 : Une personne allègue que sa banque lui a envoyé des renseignements personnels dans des enveloppes non scellées
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2013-013 : Une preuve insuffisante de la communication de renseignements personnels peut justifier qu’il soit mis fin à l’examen d’une plainte
• Une organisation satisfait à ses obligations de protection lorsqu’elle utilise le courrier de première classe pour acheminer des cartes de crédit et des numéros d’identification personnels.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2002-43 : Une victime de fraude sur carte de crédit reproche à une banque de se fier au courrier de première classe pour protéger les renseignements personnels
• Lorsque des renseignements personnels sont transmis par télécopieur, les organisations doivent s’assurer qu’aucun renseignement personnel sensible n’est inscrit sur les feuilles d’envoi.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2005-317 : Une télécopie d’un agent de recouvrement contient des renseignements personnels sur une débitrice
• Lors de la transmission d’un courrier électronique à des destinataires multiples, les organisations doivent s’assurer que les adresses individuelles des destinataires ne sont pas divulguées.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2004 — 277 : L’envoi collectif d’un message entraîne des adresses électroniques des participants à un concours
  • Résumé d’incident no 4 : Un fournisseur de services communique par inadvertance l’adresse de courriel de près de 300 clients dans un courriel de masse

 Internet et technologie

• Les organisations qui revendent des appareils électroniques contenant de l’information doivent effacer les renseignements personnels de l’ancien propriétaire avant la revente.
  • Exemple de plainte réglée en cours d’enquête no 1 : Un magasin instaure des changements à la suite d’un incident concernant un ordinateur portatif
  • Rapport de vérification : Bureau en gros
• Les organisations qui stockent des renseignements personnels en ligne doivent veiller à ce que ces renseignements soient adéquatement protégés contre l’accès non autorisé en utilisant des mots de passe ou le chiffrement.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2009-017 : Une organisation tierce de locateurs a recueilli, utilisé et communiqué des renseignements personnels de locataires sans leur consentement
• Les organisations qui utilisent des appareils électroniques portables pour stocker des renseignements personnels doivent s’assurer que ces appareils sont correctement protégés en tout temps. Les appareils contenant des renseignements personnels doivent être chiffrés, protégés par un mot de passe et sauvegardés.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2008-393 : Le vol d’un ordinateur portatif dans une banque et le délai considérable avant d’informer les victimes étaient tous les deux évitables
• Les organisations qui utilisent un terminal de données mobile pour communiquer avec des véhicules protègent adéquatement les renseignements personnels si l’écran du terminal de données mobile n’est pas facilement visible par les clients.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2009-011 : Le conducteur d’un véhicule de transports en commun s’oppose à l’utilisation de technologies (MDT et GPS) à bord des véhicules d’entreprise
• Les organisations qui transfèrent de l’information contenant des renseignements personnels sensibles par Internet doivent utiliser des mesures de sécurité appropriées, telles que le chiffrement des données.
  • Rapport de conclusions en vertu de la LPRPDE no 2013-001 : Enquête sur les pratiques de traitement des renseignements personnels de WhatsApp Inc
• Les organisations doivent se tenir au courant des avancées technologiques pour veiller à ce que leurs mesures de sécurité technologiques, y compris les normes relatives au chiffrement des données, soient à jour.
  • Rapport de conclusions d’enquête : Rapport d’enquête sur la sécurité, la collecte et la conservation des renseignements personnels (2007) TJX Companies Inc./Winners Merchant International L.P.

Lorsque des atteintes se produisent

• Le simple fait qu’une atteinte à la protection des données survienne ne signifie pas automatiquement que l’organisation n’a pas respecté son obligation de protection; plutôt, l’obligation sera respectée si les mesures de sécurité en place au moment de l’incident étaient raisonnables et appropriées aux circonstances.
  • Rapport de conclusions en vertu de la LPRPDE no 2014-004 : Un fournisseur de service en ligne dont les données ont été compromises avait instauré des mesures de sécurité adéquates
• Lorsque les mesures de sécurité se révèlent inadéquates, les organisations doivent prendre des mesures immédiates afin d’améliorer la sécurité en offrant une formation de mise à niveau aux employés, en adoptant de nouveaux protocoles ou des protocoles révisés et en renforçant les procédures.
  • Rapport de conclusions en vertu de la LPRPDE no 2014-003 : Une compagnie d’assurance révise ses mesures de sécurité à la suite d’une atteinte à la vie privée
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-372 : Les communications aux courtiers en données exposent les faiblesses des mesures de sécurité en télécommunications
  • Résumé d’incident no 2 : Défaillance des pratiques de la CIBC en matière de protection des renseignements personnels lors d’envois de documents par télécopieur
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2006-332 : Une banque communique de nouvelles directives et sensibilise ses employés après que des renseignements sur des clients eurent été envoyés par télécopieur au mauvais destinataire
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2006-360 : Une banque envoie par erreur à une cliente, dans un courrier électronique, des renseignements personnels concernant des employés
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2008-395 : La commissaire dépose une plainte relative aux mesures de protection contre la CIBC
• En cas de vol ou de fraude présumé, l’organisation doit informer la police dès que possible
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2008-395 : La commissaire dépose une plainte relative aux mesures de protection contre la CIBC
• Les organisations qui ont manqué à leurs obligations relatives à la protection de la vie privée devraient immédiatement informer les personnes touchées.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2008-393 : Le vol d’un ordinateur portatif dans une banque et le délai considérable avant d’informer les victimes étaient tous les deux évitables
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2008-395 : La commissaire dépose une plainte relative aux mesures de protection contre la CIBC

Entreposage de renseignements personnels

• Les documents qui contiennent des renseignements personnels doivent être entreposés dans un endroit approprié afin d’empêcher l’accès non autorisé.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2005-304 : Une chaîne de cinémas améliore ses pratiques en matière de traitement des renseignements personnels
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-376 : Le service de sécurité d’un immeuble en copropriété n’a pas fait une utilisation abusive de ses caméras de surveillance, mais il a amélioré la protection des renseignements personnels
• Les renseignements personnels, tels que les empreintes digitales et les numéros de permis de conduire, doivent être chiffrés et entreposés dans une armoire verrouillée et accessible uniquement à un nombre limité de personnes autorisées.  
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2002-107 : Une personne se plaint des mesures de sécurité inappropriées relativement aux renseignements personnels et de leur communication
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-185 : Les raisons pour lesquelles une compagnie de chemin de fer recueille des renseignements personnels sont jugées appropriées; ses mesures de sécurité sont adéquates

Responsabilité individuelle

• Lors de l’acheminement de renseignements personnels, les personnes ont une partie de la responsabilité dans la prise de précautions appropriées, notamment l’utilisation d’une page couverture correctement préparée.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-251 : Une question de responsabilité
• Les organisations sont responsables d’assurer la protection des renseignements personnels en utilisant des mesures de sécurité telles que les mots de passe, mais les personnes ont une partie de la responsabilité dans la protection de leurs renseignements personnels.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2005-315 : Mesures de sécurité d’une société Internet et traitement d’une demande d’accès à l’information et d’une plainte relative à la protection des renseignements personnels mis en doute
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2009-008 : Rapport de conclusions de l’enquête menée à la suite de la plainte déposée par
    la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC) contre Facebook Inc.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-254 : Sa fille accumule des frais d’interurbain; la mère blâme la compagnie de téléphone