Embed Size (px)
Citation preview
PROTECTION DU PROTECTEUR
GUIDE D’INTERVENTION EN CAS D’ATTEINTE À LA PROTECTION DES DONNÉES
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////RÉGLEMENTATION CANADIENNE SUR L’ATTEINTE À LA PROTECTION DES DONNÉES
LIVRE BLANC
LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS NUMÉRIQUES DANS LE CADRE DE LA LPRPDE :PRÉPARATION AUX NORMES CANADIENNES À VENIR SUR LA DÉCLARATION DES ATTEINTES À LA PROTECTION DES DONNÉES
INTRODUCTIONTraiter les atteintes à la protection des données peut être un exercice complexe autant pour les entreprises que pour les autorités de réglementation. Malgré le vote par les législateurs canadiens en juin 2015 de la Loi sur la protection des renseignements personnels numériques amendant la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), il a été convenu qu’ils auraient jusqu’à l’automne-hiver 2017 pour finaliser la réglementation concernant spécifiquement les exigences de déclaration des atteintes à la protection des données. Les dispositions spécifiques concernant ces exigences étant désormais sur le point d’être publiées, il est temps que les entreprises canadiennes du secteur privé se préparent à la conformité, à la notification et à la documentation des incidents impliquant la sécurité des données qui affectent leur organisation.
Si vous n’êtes pas familier avec l’impact de la Loi sur la protection des renseignements personnels numériques sur les exigences de la LPRPDE, ce livre blanc vous aidera à comprendre ce qui se passe, les raisons qui sous-tendent ces changements et la manière dont les assureurs et les entreprises peuvent s’y préparer. Le livre blanc aborde les sujets suivants :
• L’augmentation de la fréquence et du coût des atteintes à la protection des données;
• Les considérations juridiques nationales et internationales ayant mené à cet amendement;
• L’impact sur les entreprises de la Loi sur la protection des renseignements personnels numériques;
• Des conseils pour respecter les contrôles et les exigences qui seront désormais resserrés.
FAIRE FACE À LA MULTIPLICATION DES ATTEINTES À LA PROTECTION DES DONNÉESLes atteintes à la protection des données sont devenues un enjeu majeur pour les entreprises, les organisations et les gouvernements du monde entier. En 2016, plus de 1,3 milliard de renseignements personnels ont été perdus ou volés à travers le monde, et 80 % des incidents ont été rapportés en Amérique du Nord.1 Bien que, d’après Gemalto, la majorité des événements connus et signalés en 2016 aient eu lieu aux États-Unis, le Canada a récemment connu une augmentation annuelle de 160 % de ce type d’incidents.2 En 2015, le piratage du site Ashley Madison a compromis à lui seul plus de 30 millions d’enregistrements de données.3 Cette forte tendance à la hausse devrait se poursuivre au fur et à mesure que les exigences de déclaration et d’intervention augmentent à travers le Canada en vertu de la Loi sur la protection des renseignements personnels numériques.
Les statistiques reflétant la réalité des atteintes à la protection des données portent à réfléchir. En effet, ces atteintes à la protection des données personnelles exposent les personnes concernées et leur famille à la fraude et au vol d’identité pendant plusieurs années. De plus, afin de remédier à ces situations, les entreprises doivent respecter des normes de conformité complexes, en plus
LIVRE BLANC RÉGLEMENTATION CANADIENNE SUR L’ATTEINTE À LA PROTECTION DES DONNÉES
1 |
CYBERSCOUT 11080 CÔTE-DU-BEAVER-HALL, BUREAU 700 · MONTRÉAL, QC H2Z 1S8TÉLÉPHONE : 866-272-1223 · www.CyberScout.ca
1 « Mining for Database Gold: Findings from the 2016 Breach Level Index », Gemalto, mars 2017.2 « Cybersecurity Incidents in Canada Increased by 160% Year Over Year According to PwC Canada’s 2016 Global State of Information Security Survey », PwC Canada, 2016.3 « Canadian Data Breaches in 2015: Big Firms Weren’t the Only Targets », IT World Canada, décembre 2015.
de devoir composer avec des questions de relations publiques à haut risque. Les coûts sont importants pour les entreprises et ils continuent d’augmenter.
• Coût moyen d’une atteinte à la protection des données pour une entreprise : de 3,79 à 4 millions de dollars américains.4
• Coût moyen défrayé par les entreprises pour chaque enregistrement de données perdu ou volé : 158 dollars américains.5
• Augmentation du coût d’intervention en réponse aux atteintes à la protection des données depuis 2013 : 29 %.6
Le coût pour l’ensemble de l’économie est également de plus en plus élevé; selon une estimation, les atteintes à la protection des données coûteront 2 billions de dollars américains à l’économie mondiale entre 2014 et 2019.7
DIFFÉRENTS NIVEAUX DE CONSIDÉRATIONS JURIDIQUESLe Canada a adopté en 2000 la LPRPDE, première loi d’importance qui « expose les règles fondamentales de la collecte, de l’utilisation et de la communication de renseignements personnels par les organisations du secteur privé dans le cadre de leurs activités commerciales au Canada »8. Les législateurs ont élaboré la LPRPDE afin de favoriser la confiance dans le commerce en ligne en définissant des mesures de protection élémentaires pour les consommateurs et les citoyens. Ainsi, la Loi inclut différentes dispositions facilitant l’utilisation d’enregistrements numériques et de documents électroniques. Les parlementaires ayant conscience que la technologie et les techniques de fraude sont en perpétuelle évolution, la LPRPDE inclut également une disposition qui permet un réexamen de la Loi tous les cinq ans (et des révisions aussi souvent que nécessaire).
En 2015, les législateurs canadiens ont voté la Loi sur la protection des renseignements personnels numériques, qui amende la LPRPDE afin d’offrir à l’échelle nationale une réponse plus agressive aux atteintes à la protection des données. L’amendement actualise et clarifie plusieurs points de la LPRPDE concernant les éléments suivants :
• Le consentement;• Les attributions conférées au commissaire à la protection de la vie privée;• La mise en application;• La déclaration et la notification des atteintes, ainsi que la tenue de registres.
Les normes actuellement non appliquées qui auront le plus d’impact sur les entreprises canadiennes sont celles relatives à la déclaration obligatoire et à la notification des atteintes, ainsi qu’à la tenue de registres sur ces incidents. Avant d’entrer dans les détails, il est toutefois important d’établir une comparaison. La LPRPDE et la Loi sur la protection des
LIVRE BLANC RÉGLEMENTATION CANADIENNE SUR L’ATTEINTE À LA PROTECTION DES DONNÉES
2 |
4 « 2016 Cost of Data Breach Study: Global Analysis », Ponemon Institute, juin 2016.5 idem.6 idem.7 « Data Breaches to Cost Global Economy $2 Trillion by 2019 », ZDNet, mai 2015.8 « Aperçu des lois sur la protection des renseignements personnels au Canada », Commissariat à la protection de la vie privée du Canada, 2014.
CYBERSCOUT 21080 CÔTE-DU-BEAVER-HALL, BUREAU 700 · MONTRÉAL, QC H2Z 1S8TÉLÉPHONE : 866-272-1223 · www.CyberScout.ca
renseignements personnels numériques sont liées aux principales lois sur la protection des données des plus importants alliés du Canada.
ACCORDS INTERNATIONAUXLorsque les législateurs canadiens ont promulgué la LPRPDE puis la Loi sur la protection des renseignements personnels numériques, ils ont également pris en compte les importantes relations commerciales qui existent avec l’Union européenne (UE). La LPRPDE a aidé le Canada9 à respecter certaines normes adéquates relatives au transfert de données de citoyens européens vers le Canada pour le traitement de ces données en vertu de la directive 95/46/CE, créée par L’UE dans le but de protéger les renseignements personnels de ses citoyens. Le 25 mai 2018, l’Union européenne a voté le remplacement de la Directive sur la protection des données personnelles par le Règlement général sur la protection des données (RGPD), qui a été « conçu pour harmoniser les lois sur la protection des données personnelles à travers l’Europe, ainsi que pour préserver et renforcer la confidentialité des données des citoyens européens, tout en redéfinissant la manière dont les organisations de la région conçoivent la confidentialité des données ».10 Une fois de plus, il est probable que les législateurs tiennent compte des normes du RGPD de la même façon qu’ils ont tenu compte des normes de la Directive sur la protection des données personnelles il y a 17 ans, lors de l’ébauche de la LPRPDE.
QUEL SERA L’IMPACT DE LA LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS NUMÉRIQUES SUR LES ENTREPRISES DU SECTEUR PRIVÉ?Comme il a été souligné précédemment, la Loi sur la protection des renseignements personnels numériques a été votée en 2015 et ses principales dispositions n’ont pas encore été appliquées en date de l’été 2017. Bien que les législateurs souhaitaient vivement établir, entre autres normes, un processus uniformisé obligatoire de déclaration des atteintes à la sécurité des données à travers le Canada, ces derniers ont compris qu’ils auraient besoin de l’appui des agences et des organismes de réglementation gouvernementaux, ainsi que des entreprises du secteur privé et des citoyens, afin de produire un ensemble complet d’exigences les mieux adaptées pour faire face aux enjeux de ces différents intervenants. C’est ce qui explique le retard dans la mise en application des sections de la Loi consacrées aux atteintes à la protection des données.
Il est cependant clair depuis le début que les éventuelles dispositions sur la déclaration obligatoire seraient accompagnées de sanctions importantes, pouvant aller jusqu’à 100 000 dollars en cas de manquement volontaire au devoir de déclaration.11 Regardons de plus près les mesures de sécurité incluses dans la partie concernant la déclaration, la notification et la tenue de registres de la LPRPDE et de la Loi sur la protection des renseignements personnels numériques, à la section 1.1 « Atteintes aux mesures de sécurité ».12
LIVRE BLANC RÉGLEMENTATION CANADIENNE SUR L’ATTEINTE À LA PROTECTION DES DONNÉES
3 |
9 « Aperçu des lois sur la protection des renseignements personnels au Canada », Commissariat à la protection de la vie privée du Canada, 2014. Alors que le Canada respecte les normes adéquates quant au transfert de données en provenance de l’UE en dehors de l’UE, les États-Unis ne respectent pas ces normes. Par conséquent, toute entreprise américaine souhaitant traiter des informations originaires de l’UE aux États-Unis doit au préalable adhérer au programme de protection des données Privacy Shield (anciennement Safe Harbor). 10 Portail RGPD : aperçu du site.11 « Parliament Passes Digital Privacy Act Introducing Significant Fines and Mandatory Breach Notifications », Financial Post, juin 2015, http://business.financialpost.com/legal-post/parliament-passes-digital-privacy-act-introducing-significant-fines-and-mandatory-breach-notifications.12 « Modifications non en vigueur, Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5) », site web de la législation (Justice), gouvernement du Canada, juin 2015, https://laws-lois.justice.gc.ca/fra/lois/p-8.6/nifnev.html
CYBERSCOUT 31080 CÔTE-DU-BEAVER-HALL, BUREAU 700 · MONTRÉAL, QC H2Z 1S8TÉLÉPHONE : 866-272-1223 · www.CyberScout.ca
Énoncé de la section 1.1 RésuméL’organisation déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.
Les entreprises doivent signaler les atteintes aux mesures de sécurité ayant un impact sur des renseignements personnels au commissaire à la protection de la vie privée.
À moins qu’une règle de droit ne l’interdise, l’organisation est tenue d’aviser l’intéressé de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels le concernant et dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à son endroit.
Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’intéressé sont notamment :- le degré de sensibilité des renseignements personnels en cause;- la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être;et - tout autre élément prévu par règlement.
Les entreprises doivent informer les individus touchés par une atteinte à la protection des données s’il y a un risque de préjudice.
L’avis contient suffisamment d’information pour permettre à l’intéressé de comprendre l’importance, pour lui, de l’atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer un tel préjudice. Il contient aussi tout autre renseignement réglementaire.
Les entreprises doivent respecter des normes spécifiques concernant les avis aux individus.
4 |
LIVRE BLANC RÉGLEMENTATION CANADIENNE SUR L’ATTEINTE À LA PROTECTION DES DONNÉES
CYBERSCOUT 41080 CÔTE-DU-BEAVER-HALL, BUREAU 700 · MONTRÉAL, QC H2Z 1S8TÉLÉPHONE : 866-272-1223 · www.CyberScout.ca
L’avis est manifeste et est donné à l’intéressé directement, selon les modalités réglementaires. Dans les circonstances prévues par règlement, il est donné indirectement, selon les modalités réglementaires.
L’avis est donné le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte.
Les entreprises doivent transmettre les avis conformément aux délais définis par les exigences réglementaires.
L’organisation tient et conserve, conformément aux règlements, un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion.
Sur demande du commissaire, l’organisation lui donne accès à son registre ou lui en remet copie.
Les entreprises doivent désormais tenir un registre des atteintes dont elles sont victimes, et être en mesure de le transmettre sur demande au commissaire à la protection de la vie privée.
En plus d’édicter de nouvelles mesures de sécurité, la Loi sur la protection des renseignements personnels numériques actualise ou modifie certaines définitions présentes dans le texte d’origine de la LPRPDE, notamment celles-ci13 :
• Les « renseignements personnels » désignent les renseignements, peu importe leur forme et leur support, concernant un individu identifiable;
• Une « atteinte aux mesures de sécurité » désigne une communication non autorisée ou perte de renseignements personnels, ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation prévues à l’article 4.7 de l’annexe 1 de la LPRPDE ou du fait que ces mesures n’ont pas été mises en place.
QUATRE CONSEILS POUR SE PRÉPARER À UNE TRANSITION RAPIDEEn se fiant uniquement aux informations ci-dessus, il semble évident que les entreprises du secteur privé seront bientôt confrontées à de nombreux nouveaux défis en ce qui concerne la réponse aux atteintes à la protection des données. Toutefois, étant donné que de nombreux détails n’ont pas été encore publiés, il est
5 |
LIVRE BLANC RÉGLEMENTATION CANADIENNE SUR L’ATTEINTE À LA PROTECTION DES DONNÉES
CYBERSCOUT 51080 CÔTE-DU-BEAVER-HALL, BUREAU 700 · MONTRÉAL, QC H2Z 1S8TÉLÉPHONE : 866-272-1223 · www.CyberScout.ca
13 « Modifications non en vigueur, Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5) », site web de la législation (Justice), gouvernement du Canada, juin 2015, https://laws-lois.justice.gc.ca/fra/lois/p-8.6/nifnev.html
impossible de savoir exactement à quoi s’attendre. Néanmoins, au vu des éléments transmis par les législateurs jusqu’ici, certaines mesures préparatoires peuvent d’ores et déjà être prises par les entreprises.
Se familiariser avec les modifications aux exigencesLa lecture de ce document est une première étape dans la préparation aux changements à venir. Gardez cependant à l’esprit qu’une fois la réglementation finalisée et mise en application, les assureurs et les entreprises devront tenir compte de nombreux autres éléments. Assurez-vous de garder un œil sur les changements à venir et de prendre le temps de comprendre comment ceux-ci pourraient affecter vos activités et l’industrie dans son ensemble.
Élaborer des scénarios d’atteinte à la protection des donnéesLa sensibilisation est essentielle pour éviter les atteintes à la protection des données. Vous devez donc vous assurer que l’ensemble de votre personnel soit en mesure de reconnaître les signaux d’alerte, comme par exemple :
• La perte ou le vol d’un ordinateur portable ou d’un appareil de stockage de données;
• L’envoi à la mauvais adresse d’un message incluant des renseignements personnels sur un employé ou un client;
• L’affichage accidentel ou l’élimination de renseignements personnels dans un endroit accessible au public;
• Un réseau ou un système compromis (piratage);• Le vol ou la perte de documents physiques;• La perte de données ou de bandes de sauvegarde;• La perte de renseignements personnels concernant un employé ou un
client imputable à un fournisseur tiers;• L’élimination inadéquate d’un document ou d’un équipement;• Une erreur, un vol ou une fraude commis par un employé.
Former vos employésLes statistiques ci-dessus soulignent l’importance d’une formation adéquate des employés sur ce que sont les atteintes à la protection des données et sur la manière de les prévenir et les rectifier. La formation continue et les rappels sont indispensables à l’ère de l’Internet.
Comprendre les coûts en cas de non-conformitéLes exigences réglementaires devant être resserrées, il est crucial que la direction et les employés comprennent l’impact potentiel sur l’entreprise d’une atteinte à la protection des données. Même si l’entreprise concernée par une atteinte réagit adéquatement, les répercussions peuvent durer des mois,
6 |28 % DES ATTEINTES À LA PROTECTION DES DONNÉES SONT DUES À DES ERREURS HUMAINES COMMISES PAR DES EMPLOYÉS OU DES FOURNISSEURS.14
LIVRE BLANC RÉGLEMENTATION CANADIENNE SUR L’ATTEINTE À LA PROTECTION DES DONNÉES
CYBERSCOUT 61080 CÔTE-DU-BEAVER-HALL, BUREAU 700 · MONTRÉAL, QC H2Z 1S8TÉLÉPHONE : 866-272-1223 · www.CyberScout.ca
14 « 2017 Cost of Data Breach Study: Global Overview », Ponemon Institute, juin 2017.
voire des années, selon les circonstances. Sans compter que la non-conformité aux exigences de déclaration peut mener à des amendes pouvant aller jusqu’à 100 000 dollars en cas d’acte criminel, ou 10 000 dollars en cas de déclaration de culpabilité par procédure sommaire.
ÉTUDE DE CAS : ASHLEY MADISON (UNE ENTREPRISE D’AVID LIFE MEDIA)Au cours de l’été 2015, des pirates informatiques ont utilisé des authentifiants valides d’employés d’Avid Life Media (AML) pour dérober des données sur les utilisateurs du site Ashley Madison et réclamer à AML la fermeture d’Ashley Madison. À la suite du refus d’AML, les pirates ont publié les renseignements des comptes de 36 millions d’utilisateurs du site d’Ashley Madison. Les commissaires à la vie privée du Canada et de l’Australie ont accusé AML de quatre différentes atteintes aux lois sur la protection des données personnelles, notamment des défaillances concernant :
• La protection des renseignements personnels à l’aide de mesures de sécurités adaptées au degré de sensibilité des renseignements;
• La mise en application de l’obligation de détruire ou de dépersonnaliser les renseignements personnels;
• La vérification de l’exactitude des renseignements personnels;• La transparence (honnêteté) envers les utilisateurs, soit une méthode
de consentement non valide.15
COMMENT CYBERSCOUT PEUT VOUS AIDERUne fois que les nouvelles exigences de déclaration relatives aux atteintes à la sécurité des données de la LPRPDE seront mises en application, les assureurs et les entreprises au Canada entendront beaucoup parler des enjeux liés aux atteintes à la protection des données. En tant que chef de file dans le secteur des services de protection de la confidentialité des données et de l’identité, Cyberscout, grâce à ses équipes d’experts en confidentialité et en cybersécurité, est prête à aider vos clients et vos entreprises à réagir adéquatement aux atteintes à la sécurité des données et assurer la conformité aux normes.
CONCLUSIONLa plupart des scénarios concernant les atteintes à la protection des données donnent lieu à de nombreuses questions et conditions épineuses pour les entreprises, sans compter les incertitudes liées à la réglementation. C’est pourquoi il est très important de se familiariser avec les derniers changements concernant la déclaration et la notification apportés à la Loi sur la protection des renseignements personnels numériques. Avoir une idée de ce qui est à venir est une première étape pour appréhender au mieux et limiter les risques et coûts associés à cette transition pour vos clients ou votre entreprise. n
7 |
LIVRE BLANC RÉGLEMENTATION CANADIENNE SUR L’ATTEINTE À LA PROTECTION DES DONNÉES
15 « Ashley Madison Security Breach: Lessons Learned and Valuable Recommendations for All Businesses, Éloïse Gratton », août 2016.
CYBERSCOUT 71080 CÔTE-DU-BEAVER-HALL, BUREAU 700 · MONTRÉAL, QC H2Z 1S8TÉLÉPHONE : 866-272-1223 · www.CyberScout.ca
