Avis de mise en œuvre de la protection des renseignements personnels 2022-01 : Incidents de cybersécurité mettant en cause des renseignements personnels

1. Date d’entrée en vigueur

Le présent Avis de mise en œuvre entre en vigueur le 28 janvier 2021.

2. Pouvoirs

Le présent Avis de mise en œuvre est émis en vertu de l’alinéa 71(1)d) de la Loi sur la protection des renseignements personnels.

3. Objectif

Le présent Avis de mise en œuvre vise à aider les institutions à respecter leurs obligations en vertu de la Loi sur la protection des renseignements personnels en cas d’incident de cybersécurité, ci‑après appelé cyberincident, mettant en cause des renseignements personnels. Un cyberincident constitue toute tentative non autorisée, réussie ou non, d'avoir accès à une ressource informatique ou à un réseau, de le modifier, de le détruire, de le supprimer ou de le rendre inutilisable.

Le présent avis informe les responsables de la protection de la vie privée de l’institution, qui se trouvent généralement au sein du bureau d’Accès à l’information et protection des renseignements personnels (AIPRP), de leurs obligations à l’égard des cyberincidents mettant en cause des renseignements personnels détenus par l’institution ou en son nom. Il les informe également des obligations correspondantes des responsables de programmes et des responsables de la sécurité. Finalement, il fournit des orientations sur la gestion de ces incidents.

4. Contexte

Les cyberincidents de grande envergure mettant en cause des renseignements personnels détenus par des institutions fédérales et par des tiers en leur nom ont mis en évidence le besoin de gérer efficacement les atteintes à la vie privée qui en découlent. Une atteinte à la vie privée est définie comme la création, collecte, utilisation, divulgation, conservation ou disposition inappropriée ou non autorisée de renseignements personnels. L’atténuation des risques et des dommages liés aux cyberincidents mettant en cause des renseignements personnels est de plus en plus importante à mesure que le gouvernement du Canada adopte un modèle de gouvernement numérique et de prestation de services en ligne.

Il est essentiel que les responsables de la protection de la vie privée connaissent leurs responsabilités, les plans et les procédures de leur institution régissant les atteintes à la vie privée, ainsi que les rôles des responsables de programmes et de la sécurité, afin d’assurer la coordination de l’intervention de l’institution au besoin. Le présent Avis fait partie des efforts continus du Secrétariat du Conseil du Trésor (SCT) pour assurer la gestion appropriée des cyberincidents mettant en cause des renseignements personnels. Il complète la prochaine publication d’une mise à jour du Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC).

5. Orientation

Un cyberincident est un type d’événement de sécurité; il peut entraîner ou comprendre une atteinte à la vie privée s’il met en cause des renseignements personnels. Voici des exemples de cyberincidents possibles :

  • des messages de courriel suspects ou ciblés avec liens ou pièces jointes que n’ont pu détecter les systèmes de contrôle en place;
  • une activité réseau suspecte ou non autorisée;
  • la violation de données ou la compromission ou corruption d’information;
  • une intrusion d’un service du GC hébergé ou géré en nuage.

Si un cyberincident met en cause des renseignements personnels, et peut par conséquent constituer une atteinte à la vie privée, il est impératif que les responsables de la protection de la vie privée connaissent leurs responsabilités et coordonnent leurs activités avec les responsables de programmes et de la sécurité, au besoin.

Les institutions peuvent consulter les Lignes directrices sur les atteintes à la vie privée et la Trousse d’outils pour la gestion des atteintes à la vie privée pour obtenir de plus amples renseignements sur les étapes à suivre pour gérer les atteintes à la vie privée.

Responsabilités des responsables de la protection de la vie privée

La Directive sur les pratiques relatives à la protection de la vie privée exige que les institutions mettent en place des plans et des procédures régissant les atteintes à la vie privée au sein de leur institution. Ces plans et procédures doivent s’harmoniser à la Politique sur la sécurité du gouvernement et à ses directives et normes connexes. Ils devraient couvrir le confinement, l’évaluation et l’atténuation de l’atteinte, la notification aux parties touchées et la prévention de futures atteintes. Ils devraient également comprendre des mesures visant à s’assurer que le bureau de sécurité du ministère est avisé le cas échéant puisque, souvent, les atteintes à la vie privée sont attribuables à un incident de sécurité ou comprennent un tel incident. Les responsables de la protection de la vie privée devraient aider les gestionnaires et les responsables de programmes à mettre en œuvre les plans et les procédures de l’institution en cas d’atteinte à la vie privée.

Toutes les atteintes substantielles à la vie privée doivent également être signalées au SCT et au Commissariat à la protection de la vie privée (CPVP) par les responsables de la protection de la vie privée, conformément à la section 6.1.2 de la Directive sur les pratiques relatives à la protection de la vie privée. Un registre doit également être tenu sur toutes les atteintes à la vie privée, qu’elles soient substantielles ou non. Ces étapes sont essentielles pour permettre le suivi des atteintes à la vie privée et la détermination des tendances des menaces à la vie privée dans l’ensemble du gouvernement, particulièrement dans le contexte des cyberincidents.

Dans le cas d’une atteinte potentielle à la vie privée dont il n’est pas possible de confirmer comme une atteinte à la vie privée, il est recommandé que les responsables de la protection de la vie privée le considère comme une atteinte et aident les responsables de programmes à mettre en œuvre les plans et les procédures de l’institution.

Responsabilités des gestionnaires et des responsables de programmes

Il incombe aux gestionnaires et aux responsables de programmes de mettre en œuvre les plans et les procédures de l’institution régissant les atteintes à la vie privée. Lorsque les responsables de programmes prennent connaissance d’un cyberincident pouvant mettre en cause des renseignements personnels, des mesures doivent être prises pour protéger les renseignements touchés et empêcher toute autre compromission de renseignements personnels.

En cas de cyberincident, les responsables de programmes devraient assurer la liaison avec les responsables de la protection de la vie privée et de la sécurité. Les responsables de la protection de la vie privée sont les mieux placés pour déterminer si des renseignements personnels ont été touchés (c.‑à‑d. s’il y a eu une atteinte à la vie privée) et, le cas échéant, le degré de risque pour la vie privée associé au cyberincident. En cas d’atteinte à la vie privée, ils devraient aider les responsables de programmes à gérer cette atteinte. Les responsables de la sécurité sont à leur tour chargés de relever les lacunes en matière de sécurité et de formuler des recommandations ou de lancer une enquête, le cas échéant.

Responsabilités des responsables de la sécurité

La Politique sur les services et le numérique et la Directive sur les services et le numérique établissent un certain nombre d’exigences pour les responsables de la sécurité en ce qui a trait aux cyberincidents. L’agent désigné pour la cybersécurité de l’institution, en coordination avec le dirigeant principal de l’information et le dirigeant principal de la sécurité (DPS) de l’institution, doit prendre des mesures immédiates pour évaluer les répercussions et mettre en œuvre des mesures d’atténuation en réponse aux incidents et aux événements de cybersécurité. Des plans doivent également être mis en place pour répondre aux incidents et aux événements de cybersécurité conformément au PGEC GC. Conformément à la Directive sur la gestion de la sécurité, le DPS est chargé d’établir des processus à l’échelle du ministère pour surveiller tous les incidents de sécurité, et en assurer une intervention coordonnée.

De plus, la Politique et la Directive sur les services et le numérique exigent que les institutions établissent les rôles et les responsabilités dans le signalement des cyberincidents, notamment ceux qui entraînent une atteinte à la vie privée. Le PGEC GC précise que tous les cyberincidents devraient être signalés aux responsables de la protection de la vie privée s’il est possible que des renseignements personnels sont en cause. Cela permet de faire en sorte que toute atteinte potentielle à la vie privée soit détectée. Conformément à la Norme sur le signalement des incidents de sécurité, les responsables de la sécurité signaleront l’incident aux organismes d’application de la loi et/ou de sécurité nationale dans certaines circonstances.

Coordination entre les responsables de la protection de la vie privée et les responsables de la sécurité

Les plans et les procédures des institutions régissant les atteintes à la vie privée et les cyberincidents devraient inclure des mesures à suivre pour aviser les homologues chargés de la protection de la vie privée ou de la sécurité et pour assurer la coordination avec eux, au besoin. En cas de cyberincident mettant en cause des renseignements personnels, les interventions respectives des responsables de la protection de la vie privée et des responsables de la sécurité devraient être coordonnées aux étapes suivantes : 1) évaluation, 2) atténuation et prévention, et 3) notification.

1) Évaluation

Les responsables de la protection de la vie privée devraient dans la plupart des cas procéder à une évaluation complète d’un cyberincident mettant en cause des renseignements personnels. Cependant, une évaluation complète peut ne pas être nécessaire si l’évaluation préliminaire menée par les responsables de programmes fournit suffisamment d’information pour exclure la possibilité d’une atteinte substantielle à la vie privée et pour déterminer des mesures d’atténuation et de prévention appropriées. Par exemple, une atteinte causée par un mauvais acheminement d’un courriel contenant des renseignements personnels non sensibles qui est reçu par une entité connue (p. ex. un sous-traitant ou un employé n’ayant pas un besoin de savoir) ne nécessiterait peut-être pas une évaluation complète. Les responsables de la protection de la vie privée pourraient déterminer, en se basant sur l’information fournit par l’évaluation préliminaire menée par le responsable de programme, que l’atteinte n’est pas substantielle et que des mesures d’atténuation et de prévention seront simples à appliquer. Les responsables de la sécurité procéderaient en parallèle à une enquête de l’incident.

La communication au cours de ces processus entre les responsables de la protection de la vie privée et les responsables de la sécurité est important pour s’assurer que les causes et les répercussions de l’incident sont bien comprises et documentées. Par exemple, dans le cas d’un accès non autorisé à des renseignements personnels, une analyse de sécurité peut révéler la cause (comme une vulnérabilité technologique) et l’étendue d’un tel accès, ce qui peut aider à déterminer si une atteinte à la vie privée est substantielle. Une analyse de la protection de la vie privée peut ensuite déterminer la sensibilité des renseignements personnels en cause et le risque de préjudice pour les personnes touchées, ce qui peut aider les responsables de la sécurité à déterminer les incidences sur le ministère, comme les risques juridiques ou financiers ou pour la réputation, et à déterminer si la prise de mesures d’atténuation ou le recours hiérarchique subséquents sont justifiés.

À titre de pratique exemplaire, les résultats pertinents de ces processus devraient être communiqués aux homologues chargés de la protection de la vie privée et de la sécurité.

2) Atténuation et prévention

Il est également important de coordonner la mise en œuvre de mesures d’atténuation et de prévention en réponse à un cyberincident mettant en cause des renseignements personnels. Les plans et les procédures des institutions régissant les atteintes à la vie privée doivent inclure des mesures de prévention appropriées; il peut s’agir notamment de mesures de protection de la vie privée et de sécurité, comme une formation supplémentaire sur la protection des renseignements personnels, la révocation de la cote de sécurité, la reconfiguration des mesures de contrôle de sécurité, ou même l’arrêt temporaire d’un service.

3) Notification

Selon le processus institutionnel établi, les responsables de la protection de la vie privée ou les responsables de la sécurité devraient aviser l’administrateur général et le groupe des communications de l’institution d’un cyberincident entraînant une atteinte à la vie privée, au besoin. Si une atteinte à la vie privée est ou peut devenir une question d’intérêt public, les responsables des communications devraient en être avisés pour pouvoir préparer les documents de communication afin de répondre aux questions du public, des médias ou des parlementaires. L’unité des services juridiques de l’institution devrait également en être avisée si l’évaluation conclut qu’il existe un risque de litige. Comme il est expliqué ci-dessous, Services publics et Approvisionnement Canada (SPAC) devrait être avisé de tout cyberincident ou atteinte à la vie privée qui se produise au sein d’une tierce partie sous contrat avec l’institution. 

Cyberincidents au sein des tiers

La gérance des renseignements personnels des Canadiens exige que les institutions fédérales veillent à la protection des renseignements personnels, peu importe où et par qui ils sont détenus. La Politique sur la protection de la vie privée exige que les institutions établissent des mesures pour veiller à ce que les exigences de la Loi sur la protection des renseignements soient respectées lorsqu’elles établissent des contrats, des ententes ou des arrangements qui impliquent l’échange de renseignements personnels. Les tierces parties qui ne sont pas des institutions du gouvernement fédérales sont assujetties à d’autres lois. Leur réponse aux atteintes à la vie privée sera dictée en fonction de ces lois et des dispositions du contrat, de l’entente ou de l’arrangement. Les programmes devraient consulter les responsables de la protection de la vie privée ainsi que leur unité de services juridiques pour déterminer les obligations applicables. Dans tous les cas de cyberincident au sein d’un tiers mettant en cause des renseignements personnels détenus au nom d’une institution fédérale, il est important que l’institution détermine si une atteinte à la vie privée s’est produite et prend des mesures pour veiller à ce que toute atteinte soit gérée de façon appropriée.

Lors de la conclusion d’un contrat ou d’un arrangement comportant des renseignements personnels, les responsables des programmes devraient veiller à inclure des clauses appropriées pour protéger et gérer les renseignements personnels, notamment l’obligation pour le tiers d’aviser immédiatement l’institution de tout cyberincident ou de toute atteinte à la vie privée mettant en cause les renseignements personnels. Au cas où l’institution est avisée d’une telle atteinte ou d’un tel cyberincident, elle devrait informer la Direction des enquêtes spéciales et de la divulgation interne (DESDI) au sein de SPAC, qui est responsable d’enquêter sur les atteintes à la vie privée causées par un cyberincident impliquant un fournisseur tiers. En plus de s’assurer que les obligations contractuelles sont respectées, la DESDI coordonnera ses efforts avec l’institution touchée et les autres parties prenantes gouvernementales pour faire avancer l’enquête sur l’incident.

Il est fortement recommandé que les plans et les procédures de l’institution régissant les atteintes à la vie privée couvrent les atteintes qui se produisent au sein des tierces parties et qui touchent les renseignements personnels détenus au nom de l’institution. Les mesures qui devraient faire partie des plans et procédures incluent la notification aux personnes touchés si la notification pourrait permettre aux personnes de prendre des mesures pour se protéger. Des mesures devraient également être prises pour évaluer les risques liés à l’atteinte à la privée et en aviser le CPVP et le SCT en cas d’atteinte substantielle. Les institutions devraient tenir un registre de toutes les atteintes à la vie privée, y compris celles qui se produisent au sein des tiers.

Pour de plus amples renseignements sur les protections appropriées relatives à la vie privée lors de l’échange d’information, consulter le Document d’orientation pour aider à préparer des Ententes d’échange de renseignements personnels et le Document d’orientation : Prise en compte de la protection des renseignements personnels avant de conclure un marché.

6. Application

Le présent Avis de mise en œuvre s’applique aux institutions fédérales visées à l’article 3 de la Loi sur la protection des renseignements personnels, de même qu’aux sociétés d’État mère ou aux filiales en propriété exclusive de ces sociétés.

7. Documents de référence

Lois

Instruments de politique connexes du Conseil du Trésor

8. Demande de renseignements

Les membres du public peuvent communiquer avec le Service des demandes de renseignements du Secrétariat du Conseil du Trésor du Canada pour obtenir de plus amples renseignements au sujet du présent Avis de mise en œuvre.

Les employés des institutions fédérales peuvent communiquer avec leur coordonnateur de l’accès à l’information et de la protection des renseignements personnels (AIPRP) pour obtenir de plus amples renseignements au sujet du présent Avis de mise en œuvre.

Les coordonnateurs de l’AIPRP peuvent communiquer avec la Division de la politique de l’information et de la protection des renseignements personnels du Secrétariat du Conseil du Trésor du Canada pour obtenir de plus amples renseignements au sujet du présent Avis de mise en œuvre.

Détails de la page

Date de modification :