La confiance dans la santé numérique

Contexte

Les décisions suivantes font suite à des cyberattaques distinctes dont quatre organisations différentes ont été la cible. Trois de ces cyberattaques ont été commises contre des dépositaires de renseignements sur la santé assujettis à la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) et la quatrième a pris pour cible une société d’aide à l’enfance assujettie à la partie X de la Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille (LSEJF). Dans ces quatre affaires, les organisations ont soutenu qu’elles n’avaient pas l’obligation d’aviser les particuliers concernés, car rien ne permettait de croire que des renseignements personnels sur la santé ou des renseignements personnels avaient été subtilisés (ou exfiltrés) de leurs systèmes. Le Bureau du commissaire à l’information et à la protection de la vie privée (CIPVP) était en désaccord, et a conclu que la perte ou l’utilisation ou la divulgation non autorisée de renseignements personnels (ou de renseignements personnels sur la santé) donnait lieu à l’obligation d’aviser les particuliers concernés, même si la cyberattaque n’avait pas entraîné l’exfiltration de renseignements.

Conclusions

Dans la Décision 19 en vertu de la LSEJF,¹ la Société d’aide à l’enfance de Halton (SAE) a été victime en février 2022 d’une attaque par rançongiciel qui a causé le chiffrement total de certains de ses systèmes. Ce chiffrement a été effectué au niveau du conteneur et non à celui des dossiers. L’entreprise de criminalistique chargée d’analyser l’attaque a établi que le chiffrement de certains serveurs de la SAE commis par l’auteur de menace « n’avait pas entraîné l’accès aux données ou l’exfiltration de données » contenues dans ces serveurs.

L’arbitre a conclu que le chiffrement des serveurs contenant des renseignements personnels avait donné lieu à l’utilisation non autorisée et à la perte de ces renseignements au sens du paragraphe 308 (2) de la LSEJF. La SAE avait l’obligation d’aviser les particuliers concernés « à la première occasion raisonnable ». Cependant, l’arbitre a établi qu’en l’occurrence, il n’était pas nécessaire de donner un avis direct étant donné les facteurs pertinents, dont la diligence avec laquelle la SAE avait maîtrisé la cyberattaque et y avait remédié, et le temps qui s’était écoulé. L’arbitre a ordonné à la SAE de fournir un avis public indirect dans les 30 jours suivant la date de sa décision, soit en publiant un avis général dans son site Web, soit d’une autre façon.

Dans la Décision 253 en vertu de la LPRPS,² le Hospital for Sick Children a été la cible d’une attaque par rançongiciel en décembre 2022. L’auteur de menace a chiffré de nombreux serveurs de l’hôpital au niveau du conteneur. Bon nombre de ces serveurs contenaient des renseignements personnels sur la santé. L’enquête n’a pas permis d’établir que des renseignements personnels sur la santé avaient été consultés ou subtilisés. Immédiatement après l’attaque et au cours des semaines qui ont suivi, l’hôpital a publié des mises à jour dans son site Web et dans les médias sociaux pour informer le public de cette attaque et des progrès de l’enquête et des mesures correctives.

L’arbitre a établi que l’attaque par rançongiciel avait donné lieu à l’utilisation non autorisée et à la perte de renseignements personnels sur la santé au sens du paragraphe 12 (2) de la LPRPS. L’hôpital avait donc l’obligation de donner un avis en vertu de la LPRPS, ce qu’il a fait. Cependant, l’arbitre a conclu que l’avis de l’hôpital n’était pas conforme au paragraphe 12 (2) de la LPRPS, car il ne comportait pas d’énoncé précisant le droit de porter plainte au CIPVP. Cependant, compte tenu du fait que l’hôpital avait réagi adéquatement, de l’ensemble des circonstances et du temps écoulé, l’arbitre a estimé qu’il ne serait pas utile d’ordonner la remise d’un avis révisé et a donc conclu son examen sans rendre d’ordonnance.

Dans la Décision 254 en vertu de la LPRPS, le Bureau de santé publique de Kingston, Frontenac, Lennox et Addington a été la cible d’une attaque par rançongiciel en juin 2021. Le bureau de santé a confirmé que l’auteur de menace avait chiffré plus de 8 000 dossiers de patients dans ses serveurs. Bien que l’enquête ait permis de découvrir des outils associés à l’exfiltration de données dans certains serveurs qui contenaient des renseignements personnels sur la santé, rien ne permettait de croire que l’auteur de menace avait subtilisé des renseignements. Le bureau de santé a déclaré que « toutes les données importantes avaient pu être déchiffrées » après paiement d’une rançon. Après l’incident, le bureau de santé a publié des communiqués de presse informant le public de cette attaque et des progrès de ses mesures de rétablissement.

Comme dans la Décision 253 en vertu de la LPRPS, l’arbitre a conclu que l’attaque par rançongiciel avait donné lieu à l’utilisation non autorisée et à la perte de renseignements personnels sur la santé au sens du paragraphe 12 (2) de la LPRPS. Par conséquent, le bureau de santé avait l’obligation de donner un avis en vertu de la LPRPS. L’arbitre a établi que l’avis du bureau de santé n’était pas conforme au paragraphe 12 (2) de la LPRPS, car il aurait dû être plus détaillé et indiquer le droit de porter plainte au CIPVP. Cependant, compte tenu du fait que le bureau de santé avait réagi adéquatement, de l’ensemble des circonstances et du temps écoulé, l’arbitre a estimé qu’il ne serait pas utile d’ordonner la remise d’un avis supplémentaire et a donc conclu son examen sans rendre d’ordonnance.

Dans la Décision 255 en vertu de LPRPS, le Bureau de santé du district de Simcoe Muskoka a été la cible d’un hameçonnage par courriel en juillet 2022. L’auteur de menace a obtenu l’accès à un compte de courrier électronique du bureau de santé contenant environ 20 000 courriels, dont environ 1 000 courriels contenant des renseignements personnels sur la santé. L’enquête du bureau de santé a permis d’établir que l’auteur de menace n’avait ni envoyé ni réacheminé de courriels du compte en question. L’enquête de criminalistique a également permis de constater qu’il n’avait accédé que pendant une heure à ce seul compte de courrier électronique. Au cours de l’examen du CIPVP, le bureau de santé a envoyé des lettres détaillées aux particuliers dont les renseignements personnels sur la santé auraient pu avoir été touchés par cette attaque.

L’arbitre a conclu que selon la prépondérance des probabilités, l’accès de l’auteur de menace à un compte de courrier électronique du bureau de santé avait donné lieu à l’utilisation non autorisée et à la perte de renseignements personnels sur la santé. Par conséquent, l’obligation d’aviser les particuliers concernés en vertu du paragraphe 12 (2) de la LPRPS s’appliquait. Bien que le bureau de santé ait donné un avis direct aux particuliers pendant l’examen du CIPVP, l’arbitre a conclu qu’il aurait dû l’avoir fait à la première occasion raisonnable. Dans les circonstances, l’arbitre a conclu l’examen sans rendre d’ordonnance.

Principales constatations

Le chiffrement par un auteur de menace de renseignements personnels (ou de renseignements personnels sur la santé), qui rend les renseignements inaccessibles, peut constituer une perte ou encore une utilisation ou une divulgation non autorisée de ces renseignements. Cette règle s’applique même sans exfiltration ni consultation de fichiers, et elle donne lieu à l’obligation d’aviser les particuliers concernés.

1. Le chiffrement transforme les renseignements personnels (ou les renseignements personnels sur la santé) de sorte qu’ils sont inaccessibles à leurs utilisateurs autorisés. Rendre les documents inaccessibles au dépositaire de renseignements sur la santé ou au fournisseur de services en vue de les utiliser, de les divulguer ou de les manipuler à des fins non autorisées revient à les « employer » ou à les « traiter ». En d’autres mots, ces renseignements sont utilisés au sens de la LPRPS et de la LSEJF. 
2. Les renseignements qui sont inaccessibles aux utilisateurs autorisés en raison d’une activité non autorisée sont également « perdus » au sens du paragraphe 12 (2) de la LPRPS et du paragraphe 308 (2) de la LSEJF. En chiffrant un serveur, l’auteur de menace empêche les utilisateurs autorisés d’accéder aux renseignements personnels (ou aux renseignements personnels sur la santé) dont ils ont besoin pour fournir des services. Il y a donc perte de renseignements, même si ce n’est que pendant une brève période. 
3. Le fait que les renseignements ont été récupérés après avoir été inaccessibles en raison d’une attaque par rançongiciel ne soustrait pas à l’obligation d’aviser les particuliers concernés en vertu du paragraphe 12 (2) de la LPRPS et du paragraphe 308 (2) de la LSEJF.
4. Il est possible de respecter l’obligation d’aviser les particuliers concernés de diverses façons. Pour déterminer le type d’avis à donner, l’organisation doit tenir compte des circonstances pertinentes, dont les suivantes : 

• le nombre de particuliers qui pourraient avoir été touchés par la cyberattaque.
• la question de savoir si la réponse à la cyberattaque a été adéquate.
• le volume et le caractère délicat des renseignements concernés.
• toute indication selon laquelle l’attaque continue de poser des risques pour la vie privée.

Il arrive que les cybercriminels chiffrent des renseignements personnels pour les rendre inaccessibles à l’institution et paralyser ses activités. Parfois, ils parviennent à accéder aux serveurs d’une institution et menacent de publier des renseignements personnels délicats en ligne. Lorsqu’elles sont la cible d’une cyberattaque, les institutions doivent agir rapidement pour colmater la brèche de cybersécurité, rétablir leurs activités et aviser les particuliers dont des renseignements personnels auraient pu avoir été touchés.

Notes

1. Cette décision fait actuellement l’objet d’une révision judiciaire et d’un appel.
2. Cette décision fait actuellement l’objet d’une révision judiciaire.

Affaire marquante : Décision 243 en vertu de la LPRPS*

*Les décisions sont disponibles en anglais. Une traduction en français est fournie sur demande.

Introduction

La recherche s’appuyant sur des renseignements sur la santé joue un rôle crucial pour améliorer les traitements médicaux et la qualité des soins. Pour mener des recherches en santé, les chercheurs doivent accéder à des renseignements personnels sur la santé, dont la collecte et l’utilisation sont réglementées en vertu des lois régissant la protection des renseignements personnels sur la santé. Cependant, ces renseignements sont de nature délicate, et en Ontario, les chercheurs en santé qui les utilisent doivent observer les exigences de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS). Ces exigences visent à protéger les renseignements sur la santé tout en permettant la tenue d’importantes recherches en santé.

Contexte

Établie par l’Université de Toronto en 2013, UTOPIAN est une base de données destinée à la recherche qui contient des dossiers dépersonnalisés de patients tirés de dossiers médicaux électroniques (DME) provenant de médecins de premier recours participants. Les renseignements personnels sur la santé téléversés dans UTOPIAN ont été recueillis auprès de dépositaires de renseignements sur la santé aux termes des dispositions de la LPRPS applicables à la recherche. 

L’université a remis aux dépositaires une entente de fournisseur, qui consistait en une lettre de plusieurs pages décrivant le projet UTOPIAN, suivie d’un formulaire de consentement du dépositaire. L’entente prévoyait que seules des données dépersonnalisées extraites de la base de données seraient fournies aux chercheurs aux fins de la recherche sur les soins primaires en Ontario. Cependant, l’université n’a pas fourni aux dépositaires participants une copie du plan de recherche initial ou mis à jour après renouvellement et modification. L’université ne leur a pas remis non plus une copie de la décision de la commission d’éthique de la recherche (CER) approuvant le plan de recherche. 

À l’origine, le plan de recherche d’UTOPIAN précisait qu’aucun identifiant de patient ne serait extrait. Cependant, cela a changé en 2020, lorsque l’université a élargi l’ampleur des renseignements sur la santé recueillis par UTOPIAN afin d’inclure des identifiants comme le nom, l’adresse, les numéros de téléphone, les adresses courriel et les numéros de carte Santé. UTOPIAN a également commencé à recueillir auprès des fournisseurs des renseignements personnels sur la santé tirés des DME ainsi que des images et d’autres visuels.

Pour informer les dépositaires de ce changement, l’université a envoyé un courriel de modification suivi d’un autre courriel deux semaines plus tard, demandant une « confirmation de lecture » dans les deux cas. Cependant, l’université n’a pas fourni de version mise à jour de l’entente devant être exécutée par les dépositaires qui en avait déjà exécuté une version antérieure.   

L’université a également reconnu que lors de deux périodes où les approbations de la CER étaient échues, l’université a continué de recueillir des renseignements personnels sur la santé. Elle a remis aux dépositaires un avis d’atteinte à la vie privée pour l’une de ces périodes mais pas pour l’autre.

Plainte

En 2022, une plainte anonyme a été déposée par un groupe de médecins qui alléguaient que l’université avait obtenu des renseignements personnels sur la santé de la part de dépositaires de renseignements sur la santé sans le consentement des patients et sans avoir fourni assez de renseignements aux dépositaires. Les plaignants ont également fait part de leur préoccupation concernant la possibilité que la base de données téléverse des renseignements personnels sur la santé qui auraient pu avoir été « pris, transférés, utilisés, modifiés, stockés et vendus délibérément ». En outre, les plaignants ont soulevé des inquiétudes sur la question de savoir si le processus de dépersonnalisation était adéquat et sur la divulgation à d’autres parties de renseignements éventuellement identificatoires provenant de la base de données.

Conclusions

L’enquêteuse du CIPVP a conclu que les obligations prévues à l’article 44 de la LPRPS en matière de recherche n’avaient pas été respectées. Entre autres manquements, le CIPVP a constaté que l’université n’avait pas remis aux dépositaires un plan de recherche et la décision de la CER approuvant ce plan. Il a également constaté que l’université avait recueilli des renseignements personnels sur la santé alors que l’approbation de la CER était échue, et n’avait pas donné un avis de l’une de ces atteintes à la vie privée. 

L’enquêteuse n’a pas accepté l’affirmation de l’université selon laquelle l’entente de fournisseur avait été modifiée par l’envoi de courriels précisant les changements faits en 2020. Elle a conclu que l’université aurait dû s’assurer que les dépositaires avaient communiqué clairement et sans équivoque leur acceptation de la modification proposée à l’entente, au lieu de s’appuyer sur leur silence. 

En vertu de l’article 44, la LPRPS n’exige pas le consentement des patients, mais l’université ne s’est pas assurée que les dépositaires avaient fourni aux patients un avis approprié au sujet de la recherche, ce qui était une des modalités du plan de recherche approuvé par la CER. 

Enfin, l’enquêteuse n’a pas trouvé de preuve étayant les allégations des plaignants concernant la vente de renseignements personnels sur la santé ou leurs préoccupations relatives à la dépersonnalisation.

Recommandations

L’enquêteuse a fait un certain nombre de recommandations et donné à l’université un délai de six mois pour rendre compte au CIPVP de leur mise en œuvre. Elle a notamment recommandé à l’université de s’assurer de conclure une entente de recherche en bonne et due forme avec chaque dépositaire et de s’assurer que toute modification importante soit incluse dans l’entente de recherche et explicitement acceptée. 

L’enquêteuse a également recommandé à l’université de mener une étude sur la réidentification afin d’évaluer la rigueur de ces procédures de dépersonnalisation. Elle lui a recommandé de mettre à jour ses procédures de notification des patients concernant le projet UTOPIAN et de ne pas se fonder uniquement sur l’installation d’affiches dans les bureaux des médecins, particulièrement dans un contexte de soins virtuels. Enfin, l’enquêteuse a recommandé à l’université de faire preuve de plus de transparence auprès des dépositaires participants et de créer un climat de confiance en communiquant avec eux de façon plus soutenue. 

Principales constatations

Cette décision a mis en relief plusieurs points importants concernant les obligations des chercheurs en vertu de la LPRPS :

1. Les chercheurs doivent s’assurer de fournir toute l’information requise en vertu de la LPRPS aux dépositaires pour que ceux-ci puissent prendre des décisions éclairées concernant leur participation au projet de recherche en santé, notamment une copie du plan de recherche et de la ou des approbations de la CER.
2. Lorsque des modifications importantes sont apportées à un plan de recherche en santé, les chercheurs devraient prendre les mesures nécessaires pour s’assurer que les dépositaires communiquent clairement et explicitement leur acceptation des modifications proposées. Par exemple, en l’occurrence, des copies de l’entente du fournisseur modifiée comprenant le formulaire de consentement mis à jour auraient pu être envoyées aux dépositaires en demandant qu’ils les exécutent, en incluant dans le courriel un hyperlien sur lequel les dépositaires auraient pu cliquer pour indiquer leur consentement ou en utilisant un autre moyen semblable.
3. Les chercheurs devraient revoir la façon dont ils avisent les patients de la tenue d’une recherche (au moyen d’affiches dans les bureaux des médecins) et réévaluer son efficacité, en particulier dans un contexte de soins de santé virtuels. Par exemple, un plan de recherche pourrait être modifié de manière à proposer un avis différent et plus efficace dans ce contexte.
4. Les chercheurs doivent faire preuve de transparence et maintenir une bonne communication avec les dépositaires concernant la collecte et l’utilisation de renseignements personnels sur la santé afin d’instaurer un climat de confiance envers la recherche. 
5. Les chercheurs devraient réévaluer périodiquement la rigueur de leurs procédures de dépersonnalisation pour réduire les risques de réidentification qui évoluent en raison de changements apportés au plan ou à l’environnement de recherche, par exemple, en effectuant une évaluation de la réidentification conformément aux pratiques exemplaires énoncées dans les lignes directrices sur la dépersonnalisation des données structurées (De-identification Guidelines for Structured Data) du CIPVP et la norme ISO/IEC 27559:2022, comprenant une analyse d’un ensemble de données spécifique.

En définitive, les renseignements personnels sur la santé sont des renseignements de nature délicate qui nécessitent un degré élevé de protection. Bien que la recherche soit essentielle pour améliorer la qualité des soins et l’efficacité du système de santé, les dépositaires et le public doivent avoir la certitude que leurs renseignements personnels sur la santé sont protégés et que les chercheurs qui les recueillent et les utilisent respectent la loi.

Affaire marquante : Décision 243 en vertu de la LPRPS*

*Les décisions sont disponibles en anglais. Une traduction en français est fournie sur demande.

Introduction

La recherche s’appuyant sur des renseignements sur la santé joue un rôle crucial pour améliorer les traitements médicaux et la qualité des soins. Pour mener des recherches en santé, les chercheurs doivent accéder à des renseignements personnels sur la santé, dont la collecte et l’utilisation sont réglementées en vertu des lois régissant la protection des renseignements personnels sur la santé. Cependant, ces renseignements sont de nature délicate, et en Ontario, les chercheurs en santé qui les utilisent doivent observer les exigences de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS). Ces exigences visent à protéger les renseignements sur la santé tout en permettant la tenue d’importantes recherches en santé.

Contexte

Établie par l’Université de Toronto en 2013, UTOPIAN est une base de données destinée à la recherche qui contient des dossiers dépersonnalisés de patients tirés de dossiers médicaux électroniques (DME) provenant de médecins de premier recours participants. Les renseignements personnels sur la santé téléversés dans UTOPIAN ont été recueillis auprès de dépositaires de renseignements sur la santé aux termes des dispositions de la LPRPS applicables à la recherche. 

L’université a remis aux dépositaires une entente de fournisseur, qui consistait en une lettre de plusieurs pages décrivant le projet UTOPIAN, suivie d’un formulaire de consentement du dépositaire. L’entente prévoyait que seules des données dépersonnalisées extraites de la base de données seraient fournies aux chercheurs aux fins de la recherche sur les soins primaires en Ontario. Cependant, l’université n’a pas fourni aux dépositaires participants une copie du plan de recherche initial ou mis à jour après renouvellement et modification. L’université ne leur a pas remis non plus une copie de la décision de la commission d’éthique de la recherche (CER) approuvant le plan de recherche. 

À l’origine, le plan de recherche d’UTOPIAN précisait qu’aucun identifiant de patient ne serait extrait. Cependant, cela a changé en 2020, lorsque l’université a élargi l’ampleur des renseignements sur la santé recueillis par UTOPIAN afin d’inclure des identifiants comme le nom, l’adresse, les numéros de téléphone, les adresses courriel et les numéros de carte Santé. UTOPIAN a également commencé à recueillir auprès des fournisseurs des renseignements personnels sur la santé tirés des DME ainsi que des images et d’autres visuels.

Pour informer les dépositaires de ce changement, l’université a envoyé un courriel de modification suivi d’un autre courriel deux semaines plus tard, demandant une « confirmation de lecture » dans les deux cas. Cependant, l’université n’a pas fourni de version mise à jour de l’entente devant être exécutée par les dépositaires qui en avait déjà exécuté une version antérieure.   

L’université a également reconnu que lors de deux périodes où les approbations de la CER étaient échues, l’université a continué de recueillir des renseignements personnels sur la santé. Elle a remis aux dépositaires un avis d’atteinte à la vie privée pour l’une de ces périodes mais pas pour l’autre.

Plainte

En 2022, une plainte anonyme a été déposée par un groupe de médecins qui alléguaient que l’université avait obtenu des renseignements personnels sur la santé de la part de dépositaires de renseignements sur la santé sans le consentement des patients et sans avoir fourni assez de renseignements aux dépositaires. Les plaignants ont également fait part de leur préoccupation concernant la possibilité que la base de données téléverse des renseignements personnels sur la santé qui auraient pu avoir été « pris, transférés, utilisés, modifiés, stockés et vendus délibérément ». En outre, les plaignants ont soulevé des inquiétudes sur la question de savoir si le processus de dépersonnalisation était adéquat et sur la divulgation à d’autres parties de renseignements éventuellement identificatoires provenant de la base de données.

Conclusions

L’enquêteuse du CIPVP a conclu que les obligations prévues à l’article 44 de la LPRPS en matière de recherche n’avaient pas été respectées. Entre autres manquements, le CIPVP a constaté que l’université n’avait pas remis aux dépositaires un plan de recherche et la décision de la CER approuvant ce plan. Il a également constaté que l’université avait recueilli des renseignements personnels sur la santé alors que l’approbation de la CER était échue, et n’avait pas donné un avis de l’une de ces atteintes à la vie privée. 

L’enquêteuse n’a pas accepté l’affirmation de l’université selon laquelle l’entente de fournisseur avait été modifiée par l’envoi de courriels précisant les changements faits en 2020. Elle a conclu que l’université aurait dû s’assurer que les dépositaires avaient communiqué clairement et sans équivoque leur acceptation de la modification proposée à l’entente, au lieu de s’appuyer sur leur silence. 

En vertu de l’article 44, la LPRPS n’exige pas le consentement des patients, mais l’université ne s’est pas assurée que les dépositaires avaient fourni aux patients un avis approprié au sujet de la recherche, ce qui était une des modalités du plan de recherche approuvé par la CER. 

Enfin, l’enquêteuse n’a pas trouvé de preuve étayant les allégations des plaignants concernant la vente de renseignements personnels sur la santé ou leurs préoccupations relatives à la dépersonnalisation.

Recommandations

L’enquêteuse a fait un certain nombre de recommandations et donné à l’université un délai de six mois pour rendre compte au CIPVP de leur mise en œuvre. Elle a notamment recommandé à l’université de s’assurer de conclure une entente de recherche en bonne et due forme avec chaque dépositaire et de s’assurer que toute modification importante soit incluse dans l’entente de recherche et explicitement acceptée. 

L’enquêteuse a également recommandé à l’université de mener une étude sur la réidentification afin d’évaluer la rigueur de ces procédures de dépersonnalisation. Elle lui a recommandé de mettre à jour ses procédures de notification des patients concernant le projet UTOPIAN et de ne pas se fonder uniquement sur l’installation d’affiches dans les bureaux des médecins, particulièrement dans un contexte de soins virtuels. Enfin, l’enquêteuse a recommandé à l’université de faire preuve de plus de transparence auprès des dépositaires participants et de créer un climat de confiance en communiquant avec eux de façon plus soutenue. 

Principales constatations

Cette décision a mis en relief plusieurs points importants concernant les obligations des chercheurs en vertu de la LPRPS :

1. Les chercheurs doivent s’assurer de fournir toute l’information requise en vertu de la LPRPS aux dépositaires pour que ceux-ci puissent prendre des décisions éclairées concernant leur participation au projet de recherche en santé, notamment une copie du plan de recherche et de la ou des approbations de la CER.
2. Lorsque des modifications importantes sont apportées à un plan de recherche en santé, les chercheurs devraient prendre les mesures nécessaires pour s’assurer que les dépositaires communiquent clairement et explicitement leur acceptation des modifications proposées. Par exemple, en l’occurrence, des copies de l’entente du fournisseur modifiée comprenant le formulaire de consentement mis à jour auraient pu être envoyées aux dépositaires en demandant qu’ils les exécutent, en incluant dans le courriel un hyperlien sur lequel les dépositaires auraient pu cliquer pour indiquer leur consentement ou en utilisant un autre moyen semblable.
3. Les chercheurs devraient revoir la façon dont ils avisent les patients de la tenue d’une recherche (au moyen d’affiches dans les bureaux des médecins) et réévaluer son efficacité, en particulier dans un contexte de soins de santé virtuels. Par exemple, un plan de recherche pourrait être modifié de manière à proposer un avis différent et plus efficace dans ce contexte.
4. Les chercheurs doivent faire preuve de transparence et maintenir une bonne communication avec les dépositaires concernant la collecte et l’utilisation de renseignements personnels sur la santé afin d’instaurer un climat de confiance envers la recherche. 
5. Les chercheurs devraient réévaluer périodiquement la rigueur de leurs procédures de dépersonnalisation pour réduire les risques de réidentification qui évoluent en raison de changements apportés au plan ou à l’environnement de recherche, par exemple, en effectuant une évaluation de la réidentification conformément aux pratiques exemplaires énoncées dans les lignes directrices sur la dépersonnalisation des données structurées (De-identification Guidelines for Structured Data) du CIPVP et la norme ISO/IEC 27559:2022, comprenant une analyse d’un ensemble de données spécifique.

En définitive, les renseignements personnels sur la santé sont des renseignements de nature délicate qui nécessitent un degré élevé de protection. Bien que la recherche soit essentielle pour améliorer la qualité des soins et l’efficacité du système de santé, les dépositaires et le public doivent avoir la certitude que leurs renseignements personnels sur la santé sont protégés et que les chercheurs qui les recueillent et les utilisent respectent la loi.

Affaire marquante : Décision 249 en vertu de la LPRPS*

*Les décisions sont disponibles en anglais. Une traduction en français est fournie sur demande.

Introduction

Malheureusement, les attaques par rançongiciel ne sont pas rares, surtout à notre époque où les technologies progressent rapidement. Des individus malveillants s’y livrent pour soutirer de l’argent et causer du tort à d’autres personnes. Comme ces types d’attaques se multiplient, les dépositaires de renseignements sur la santé devraient mettre en place de solides mesures préventives pour minimiser et prévenir les risques des attaques liées à la cybersécurité.

Contexte

Après avoir décelé une activité inhabituelle dans ses systèmes en décembre 2022, une clinique d’imagerie médicale (la « clinique ») a établi qu’elle avait été victime d’une attaque par rançongiciel. Les responsables ont réagi en fermant immédiatement les serveurs et en faisant appel à un conseiller juridique et à une équipe d’experts en cybersécurité pour les aider à maîtriser la situation, à faire enquête et à prendre les mesures correctives qui s’imposaient.

Une semaine après l’incident, la clinique a informé le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) qu’elle avait été victime d’une attaque par rançongiciel. Elle a précisé que jusqu’à 550 000 dossiers de patients et 1 600 000 dossiers de cas avaient peut-être été touchés par l’attaque.

Les experts de la clinique ont déterminé que l’auteur de cette attaque (un groupe de pirates connu) avait probablement pénétré dans le système par l’intermédiaire d’un compte inactif, qui disposait d’importants privilèges d’administration. Le pirate a chiffré et exfiltré des fichiers des dossiers médicaux électroniques et des serveurs de partage de fichiers, supprimé les copies de sauvegarde et exigé le paiement d’une rançon. En l’occurrence, la clinique n’a pas été en mesure de rétablir ses systèmes à l’aide de copies de sauvegarde et a dû fermer temporairement ses portes. 

La clinique a payé la rançon, après quoi elle a pu déchiffrer les données sur les serveurs touchés et récupérer tous les fichiers concernés. La clinique a informé le public de l’atteinte à la vie privée en ligne et au sein de ses établissements.

La clinique a expliqué au CIPVP qu’elle avait mis en place des mesures de sécurité avant l’incident. Cependant, le niveau élevé d’activité pendant l’attaque a entraîné l’écrasement des journaux avant qu’ils ne puissent être examinés. La clinique n’a donc pas pu déterminer exactement comment cette intrusion était survenue ni quelles tactiques avaient été utilisées pour obtenir l’accès aux identifiants du compte.

Depuis cet incident, la clinique a pris des mesures correctives pour renforcer sa sécurité en instaurant plusieurs politiques et pratiques visant à empêcher que des situations semblables ne se reproduisent. Par exemple, la clinique a modifié sa politique de restriction des privilèges d’accès afin de limiter l’accès au domaine à deux membres du personnel administratif et de réduire l’accès des utilisateurs au minimum nécessaire pour l’exercice de leurs fonctions. La clinique a établi des exigences quant à la force et à la complexité des mots de passe, surveille et supprime les comptes inactifs et effectue des vérifications régulières pour s’assurer que tous les correctifs de sécurité ont été installés. 

La clinique a également séparé ses réseaux et mis en place des pare-feu si nécessaire. En ce qui concerne les copies de sauvegarde, la clinique conserve désormais au moins une copie fiable hors ligne qui ne serait pas touchée en cas de nouvelle cyberattaque, afin que la clinique puisse reprendre ses activités. La clinique a amélioré ses mesures de détection et d’intervention. Elle télécharge désormais quotidiennement les journaux de son réseau privé virtuel et de son pare-feu et les conserve afin de pouvoir mieux enquêter sur de futurs cyberincidents grâce à ces journaux.

Conclusions

L’enquêteuse du CIPVP a établi que la clinique avait déployé des efforts suffisants pour déterminer l’ampleur de l’atteinte à la vie privée et donner un avis approprié. Elle a conclu que la clinique avait réagi de manière adéquate à cet incident, compte tenu notamment des mesures correctives qu’elle avait prises pour remédier à la situation. L’enquêteuse a également établi que la clinique avait donné un avis et mis en place des mesures correctives efficaces, et qu’il n’y avait donc pas lieu de procéder à un examen.

Principaux constats

Cette affaire souligne pour les dépositaires de renseignements sur la santé l’importance de mettre en place des mesures de sécurité rigoureuses pour prévenir les cyberattaques, notamment : 

1. accorder un accès administratif privilégié à un nombre très limité d’utilisateurs
2. réduire l’accès des utilisateurs au système au minimum nécessaire pour leurs fonctions et veiller à ce que cet accès soit supprimé lorsqu’un utilisateur quitte l’institution ou change de poste
3. surveiller et supprimer les comptes inactifs
4. exiger des mots de passe forts
5. assurer une protection contre le virus et filtrer les pourriels
6. munir le réseau de pare-feu et d’une connexion externe à un réseau privé virtuel
7. instaurer l’authentification multifacteur
8. vérifier régulièrement que les derniers correctifs de sécurité ont été installés
9. fournir régulièrement au personnel une formation sur la cybersécurité 
10. tenir des journaux d’accès dotés d’une capacité suffisante, qui peuvent permettre de déceler rapidement les accès non autorisés aux systèmes et contribuer à déterminer la cause des incidents, le moment où ils se sont produits et comment ils ont été perpétrés
11. effectuer des copies de sauvegarde fiables, dont au moins une est conservée hors ligne pour qu’elle demeure intacte en cas de cyberattaque, afin que le dépositaire de renseignements sur la santé soit en mesure de reprendre plus rapidement ses activités   

Ce ne sont là que quelques mesures que les dépositaires de renseignements sur la santé peuvent prendre pour prévenir les cyberattaques et en atténuer les conséquences. Pour en savoir davantage sur les mesures préventives que peuvent prendre les dépositaires de renseignements sur la santé, consultez la feuille-info Se protéger contre les rançongiciels du CIPVP.

Lorsqu’une atteinte à la vie privée se produit, il est essentiel que le dépositaire de renseignements sur la santé prenne des mesures immédiates pour la maîtriser, notamment en mettant ses serveurs hors fonction et en faisant appel à un conseiller juridique et à une équipe d’experts en cybersécurité. Les dépositaires de renseignements sur la santé devraient également consulter le document d’orientationLignes directrices sur les interventions en cas d’atteinte à la vie privée dans le secteur de la santé du CIPVP pour ce qui concerne les mesures appropriées à prendre après une atteinte à la vie privée. 

Prévenir une attaque par rançongiciel n’est pas une tâche facile. Cela demande du temps et des ressources. Toutefois, si des mesures de sécurité appropriées et solides sont mises en place au préalable, il est moins probable qu’un pirate parvienne à ses fins. Il est moins coûteux de prendre des mesures préventives que de payer une rançon ou de reconstituer un système compromis.

Lettre au ministère de la Santé concernant les changements proposés au règlement pris en application de la LPRPS exigeant que des renseignements personnels sur la santé soient versés au dossier de santé électronique. Cette lettre réitère la nécessité d’assurer la protection des renseignements personnels sur la santé dans les systèmes utilisés pour prodiguer des soins de santé.

Affaire marquante : Décision 249 en vertu de la LPRPS*

*Les décisions sont disponibles en anglais. Une traduction en français est fournie sur demande.

Introduction

Malheureusement, les attaques par rançongiciel ne sont pas rares, surtout à notre époque où les technologies progressent rapidement. Des individus malveillants s’y livrent pour soutirer de l’argent et causer du tort à d’autres personnes. Comme ces types d’attaques se multiplient, les dépositaires de renseignements sur la santé devraient mettre en place de solides mesures préventives pour minimiser et prévenir les risques des attaques liées à la cybersécurité.

Contexte

Après avoir décelé une activité inhabituelle dans ses systèmes en décembre 2022, une clinique d’imagerie médicale (la « clinique ») a établi qu’elle avait été victime d’une attaque par rançongiciel. Les responsables ont réagi en fermant immédiatement les serveurs et en faisant appel à un conseiller juridique et à une équipe d’experts en cybersécurité pour les aider à maîtriser la situation, à faire enquête et à prendre les mesures correctives qui s’imposaient.

Une semaine après l’incident, la clinique a informé le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) qu’elle avait été victime d’une attaque par rançongiciel. Elle a précisé que jusqu’à 550 000 dossiers de patients et 1 600 000 dossiers de cas avaient peut-être été touchés par l’attaque.

Les experts de la clinique ont déterminé que l’auteur de cette attaque (un groupe de pirates connu) avait probablement pénétré dans le système par l’intermédiaire d’un compte inactif, qui disposait d’importants privilèges d’administration. Le pirate a chiffré et exfiltré des fichiers des dossiers médicaux électroniques et des serveurs de partage de fichiers, supprimé les copies de sauvegarde et exigé le paiement d’une rançon. En l’occurrence, la clinique n’a pas été en mesure de rétablir ses systèmes à l’aide de copies de sauvegarde et a dû fermer temporairement ses portes. 

La clinique a payé la rançon, après quoi elle a pu déchiffrer les données sur les serveurs touchés et récupérer tous les fichiers concernés. La clinique a informé le public de l’atteinte à la vie privée en ligne et au sein de ses établissements.

La clinique a expliqué au CIPVP qu’elle avait mis en place des mesures de sécurité avant l’incident. Cependant, le niveau élevé d’activité pendant l’attaque a entraîné l’écrasement des journaux avant qu’ils ne puissent être examinés. La clinique n’a donc pas pu déterminer exactement comment cette intrusion était survenue ni quelles tactiques avaient été utilisées pour obtenir l’accès aux identifiants du compte.

Depuis cet incident, la clinique a pris des mesures correctives pour renforcer sa sécurité en instaurant plusieurs politiques et pratiques visant à empêcher que des situations semblables ne se reproduisent. Par exemple, la clinique a modifié sa politique de restriction des privilèges d’accès afin de limiter l’accès au domaine à deux membres du personnel administratif et de réduire l’accès des utilisateurs au minimum nécessaire pour l’exercice de leurs fonctions. La clinique a établi des exigences quant à la force et à la complexité des mots de passe, surveille et supprime les comptes inactifs et effectue des vérifications régulières pour s’assurer que tous les correctifs de sécurité ont été installés. 

La clinique a également séparé ses réseaux et mis en place des pare-feu si nécessaire. En ce qui concerne les copies de sauvegarde, la clinique conserve désormais au moins une copie fiable hors ligne qui ne serait pas touchée en cas de nouvelle cyberattaque, afin que la clinique puisse reprendre ses activités. La clinique a amélioré ses mesures de détection et d’intervention. Elle télécharge désormais quotidiennement les journaux de son réseau privé virtuel et de son pare-feu et les conserve afin de pouvoir mieux enquêter sur de futurs cyberincidents grâce à ces journaux.

Conclusions

L’enquêteuse du CIPVP a établi que la clinique avait déployé des efforts suffisants pour déterminer l’ampleur de l’atteinte à la vie privée et donner un avis approprié. Elle a conclu que la clinique avait réagi de manière adéquate à cet incident, compte tenu notamment des mesures correctives qu’elle avait prises pour remédier à la situation. L’enquêteuse a également établi que la clinique avait donné un avis et mis en place des mesures correctives efficaces, et qu’il n’y avait donc pas lieu de procéder à un examen.

Principaux constats

Cette affaire souligne pour les dépositaires de renseignements sur la santé l’importance de mettre en place des mesures de sécurité rigoureuses pour prévenir les cyberattaques, notamment : 

1. accorder un accès administratif privilégié à un nombre très limité d’utilisateurs
2. réduire l’accès des utilisateurs au système au minimum nécessaire pour leurs fonctions et veiller à ce que cet accès soit supprimé lorsqu’un utilisateur quitte l’institution ou change de poste
3. surveiller et supprimer les comptes inactifs
4. exiger des mots de passe forts
5. assurer une protection contre le virus et filtrer les pourriels
6. munir le réseau de pare-feu et d’une connexion externe à un réseau privé virtuel
7. instaurer l’authentification multifacteur
8. vérifier régulièrement que les derniers correctifs de sécurité ont été installés
9. fournir régulièrement au personnel une formation sur la cybersécurité 
10. tenir des journaux d’accès dotés d’une capacité suffisante, qui peuvent permettre de déceler rapidement les accès non autorisés aux systèmes et contribuer à déterminer la cause des incidents, le moment où ils se sont produits et comment ils ont été perpétrés
11. effectuer des copies de sauvegarde fiables, dont au moins une est conservée hors ligne pour qu’elle demeure intacte en cas de cyberattaque, afin que le dépositaire de renseignements sur la santé soit en mesure de reprendre plus rapidement ses activités   

Ce ne sont là que quelques mesures que les dépositaires de renseignements sur la santé peuvent prendre pour prévenir les cyberattaques et en atténuer les conséquences. Pour en savoir davantage sur les mesures préventives que peuvent prendre les dépositaires de renseignements sur la santé, consultez la feuille-info Se protéger contre les rançongiciels du CIPVP.

Lorsqu’une atteinte à la vie privée se produit, il est essentiel que le dépositaire de renseignements sur la santé prenne des mesures immédiates pour la maîtriser, notamment en mettant ses serveurs hors fonction et en faisant appel à un conseiller juridique et à une équipe d’experts en cybersécurité. Les dépositaires de renseignements sur la santé devraient également consulter le document d’orientationLignes directrices sur les interventions en cas d’atteinte à la vie privée dans le secteur de la santé du CIPVP pour ce qui concerne les mesures appropriées à prendre après une atteinte à la vie privée. 

Prévenir une attaque par rançongiciel n’est pas une tâche facile. Cela demande du temps et des ressources. Toutefois, si des mesures de sécurité appropriées et solides sont mises en place au préalable, il est moins probable qu’un pirate parvienne à ses fins. Il est moins coûteux de prendre des mesures préventives que de payer une rançon ou de reconstituer un système compromis.

Le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) tient à protéger les renseignements sur la santé selon une approche flexible et équilibrée consistant à sanctionner les atteintes à la vie privée tout en favorisant la reddition de comptes, l’information et l’amélioration continue.

Depuis le 1^er janvier 2024, le CIPVP peut imposer des pénalités administratives pécuniaires, entre autres mesures, en cas de contravention à la Loi de 2004 sur la protection des renseignements sur la santé (LPRPS).

Ces pénalités peuvent atteindre au plus 50 000 $ pour les particuliers et 500 000 $ pour les organisations. Elles peuvent être imposées pour favoriser la conformité à la LPRPS ou pour éviter qu’une personne ne tire un bénéfice pécuniaire direct ou indirect d’une contravention à la loi.

Lisez notre document d’orientation pour en savoir davantage sur ces critères et sur la façon dont le CIPVP établira le montant des PAP.

Si vous avez d’autres questions sur les PAP, écrivez-nous à @email.

À compter du 1er janvier 2024, le CIPVP a le pouvoir discrétionnaire d'imposer des pénalités administratives pécuniaires dans le cadre de ses pouvoirs d'exécution en cas de violation de la Loi sur la protection des renseignements personnels sur la santé (LPRPS). Téléchargez le document d'orientation pour en savoir plus :

Dans cette lettre adressée à Brian Riddell, président du Comité permanent de la politique sociale, le CIPVP formule des observations concernant les modifications proposées à la Loi de 2019 pour des soins interconnectés

Lettre au ministère de la Santé souscrivant aux pénalités administratives proposées en vertu de la LPRPS, décrivant l’approche envisagée à leur égard et soulignant leur importance pour promouvoir les droits en matière de protection de la vie privée et d’accès à l’information dans le domaine de la santé.