Multiplication préoccupante des cyberattaques dans les municipalités, les universités, les écoles et les hôpitaux 

Depuis quelques années, les organisations ontariennes sont de plus en plus vulnérables aux cyberattaques. Selon le Sondage de 2024 de la Canadian Internet Registration Authority sur la cybersécurité, les risques associés aux cyberattaques, particulièrement dans les municipalités, les universités, les écoles et les hôpitaux, sont à la hausse. D’après ce sondage, 55 % des organisations de ce secteur ont subi une cyberattaque en 2024, par rapport à 38 % en 2023. Vingt-neuf pour cent de ces attaques ont été fructueuses en 2024 par rapport à 22 % en 2023.  

Les municipalités, universités, écoles et hôpitaux conservent de vastes quantités de renseignements personnels, et ils doivent maintenir leurs activités essentielles coûte que coûte, ce qui les rend particulièrement vulnérables aux cyberattaques. Bien que certains pirates cherchent à verrouiller des données pour perturber les services, d’autres menacent de publier des renseignements personnels délicats sur le Web caché. Dans un cas comme dans l’autre, les organisations doivent agir rapidement pour maîtriser l’atteinte à la vie privée, récupérer les données et déterminer la cause de l’incident. Elles doivent également aviser de façon appropriée et en temps opportun les particuliers concernés, en tenant compte de facteurs comme le nombre de personnes touchées, le caractère délicat des données en cause et les risques pour la vie privée. Surtout, ces organisations doivent mettre en place des mesures correctives afin de minimiser le risque qu’une telle atteinte à la vie privée se reproduise. 

Réagir aux cyberattaques 

En 2024, plusieurs institutions ont signalé au CIPVP qu’elles avaient subi des atteintes à la vie privée. Le CIPVP a réglé plusieurs de ces affaires très médiatisées en s’assurant que les institutions touchées avaient maîtrisé l’atteinte à la vie privée, pris des mesures satisfaisantes pour en déterminer la cause fondamentale, avisé les particuliers concernés et mis en œuvre des mesures correctives pour prévenir d’autres attaques. Parmi ces dossiers réglés, mentionnons celui concernant MOVEit, une attaque contre une personne prescrite au sens de la LPRPS, ainsi que ceux concernant Innomar Strategies, Toronto Public Library et le Toronto District School Board.

Le CIPVP a mené une enquête plus approfondie dans le cas d’autres dossiers de cyberattaques qui n’ont pas pu faire l’objet d’un règlement anticipé, par exemple, la Décision 249 en vertu de la LPRPS. Cette enquête a fait suite à une attaque par rançongiciel contre une clinique d’imagerie médicale, qui a compromis plus de 500 000 dossiers de patients. Malheureusement, la clinique a dû payer la rançon pour rétablir l’accès à ses dossiers et ses services de santé. La clinique a réagi à l’attaque en mettant aussitôt ses serveurs hors service et en faisant appel à des experts en cybersécurité pour découvrir la source de l’atteinte à la vie privée. À l’issue de son enquête, le CIPVP a conclu que la clinique avait pris des mesures appropriées pour maîtriser l’atteinte à la vie privée, aviser les particuliers concernés et améliorer ses mesures de cybersécurité à l’avenir, notamment en limitant l’accès administratif et en conservant des copies de sauvegarde fiables hors ligne.

Chiffrement de données : faut-il aviser les particuliers concernés ou non?  

Lorsqu’un auteur de menaces verrouille ou chiffre des données, les rendant inaccessibles aux utilisateurs autorisés, on peut considérer que ces données ont été perdues ou ont fait l’objet d’une utilisation non autorisée. C’est le cas même si l’individu n’a pas accédé aux fichiers ni ne les a exfiltrés du système. Dans une série de quatre décisions rendues en 2024, le CIPVP a clarifié l’obligation des organisations d’aviser les particuliers concernés dans de pareilles situations.  

Trois de ces dossiers (Décision 253 en vertu de la LPRPS, Décision 254 en vertu de la LPRPS et Décision 255 en vertu de la LPRPS) portaient sur des dépositaires de renseignements sur la santé soumis à la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), et le quatrième dossier (Décision 19 en vertu de la LSEJF) portait sur une société d’aide à l’enfance assujettie à la partie X de la Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille (LSEJF). Dans ces quatre dossiers, les organisations en cause ont affirmé qu’elles n’avaient pas l’obligation de notifier les particuliers concernés, car rien ne prouvait que des renseignements personnels sur la santé ou des renseignements personnels eussent été exfiltrés de leurs systèmes. Le CIPVP a conclu au contraire que la perte ou l’utilisation non autorisée de renseignements personnels sur la santé et de renseignements personnels donnait lieu à l’obligation d’aviser les particuliers concernés en vertu de la LPRPS, même si la cyberattaque ne s’était pas soldée par l’exfiltration de renseignements. 

Deux de ces organisations intimées, le Hospital for Sick Children (SickKids) et la Société d’aide à l’enfance de Halton, étaient en désaccord avec les décisions du CIPVP et ont déposé une requête en révision judiciaire de la Décision 253 en vertu de la LPRPS et de la Décision 19 en vertu de la LSEJF, respectivement (voir « Le CIPVP devant les tribunaux »). 

Assurer la protection de la vie privée dans les universités

En 2024, le CIPVP s’est penché sur de sérieuses inquiétudes en matière de protection de la vie privée concernant l’utilisation de données personnelles dans les universités, rappelant la nécessité de faire preuve de transparence, d’obtenir les consentements requis et de respecter les lois sur la protection de la vie privée.

Dans la Décision 243 en vertu de la LPRPS, le CIPVP a fait enquête sur une plainte anonyme de la part d’un groupe de médecins au sujet de la base de données de recherche en santé UTOPIAN de l’Université de Toronto. Les médecins ont allégué que les renseignements personnels sur la santé contenus dans la base de données avaient été extraits sans avoir obtenu le consentement des patients et sans leur avoir fourni des renseignements suffisants sur les recherches. Les médecins ont également affirmé que les renseignements personnels sur la santé n’avaient pas été adéquatement dépersonnalisés avant d’être vendus ou fournis à des tiers. 

L’enquête du CIPVP a conclu que l’université avait enfreint plusieurs obligations en matière de recherche énoncées à l’article 44 de la LPRPS. Elle avait utilisé UTOPIAN pendant quelque temps après l’expiration de l’approbation de la commission d’éthique de la recherche (CER) et n’en avait pas informé les médecins participants, ce qui suscitait de sérieuses inquiétudes. L’enquête a également permis de constater que l’université n’avait pas remis de plans de recherche aux médecins et n’avait pas modifié les ententes de recherche compte tenu des renseignements supplémentaires contenus dans les dossiers de patients qu’elle avait commencé à recueillir, à utiliser et à conserver. Il n’était pas nécessaire d’obtenir le consentement des patients, mais l’université n’a pas effectué les visites requises dans les bureaux des médecins pour s’assurer du respect des exigences quant aux avis aux patients. Le CIPVP n’avait aucune réserve quant à la méthode de dépersonnalisation employée, et n’a trouvé aucune indication selon laquelle il y avait eu vente non autorisée de données à des entreprises tierces.

Le CIPVP a recommandé à l’université de mettre à jour ses ententes de recherche avec les médecins participants afin de refléter ses pratiques actuelles et de se conformer aux modalités de ces ententes. Le CIPVP lui a également recommandé de mettre à jour ses procédures de notification des patients concernant le projet, de mener une étude sur la réidentification afin d’évaluer l’efficacité de ses procédures de dépersonnalisation, et de faire preuve de plus de transparence à l’égard des médecins qui avaient accepté de fournir des données sur leurs patients à la base de données de recherche. 

Cette affaire souligne l’importance de respecter les règlements sur la protection de la vie privée afin d’assurer l’équité des pratiques de recherche et la confiance du public dans l’utilisation de données sur la santé à des fins de recherche.

Leçons de Waterloo : l’importance de faire preuve de diligence quant à l’acquisition de technologies intelligentes

En février 2024, des reportages dans les médias ont révélé que des distributeurs automatiques intelligents dotés d’une technologie de reconnaissance faciale avaient été installés sur le campus principal de l’Université de Waterloo, conformément à une entente de vente de casse-croûte que celle-ci avait conclue avec un fournisseur externe.

L’enquête du CIPVP a permis de constater que ces appareils étaient munis de caméras pouvant recueillir des images faciales identifiables, ce qui représentait une collecte non autorisée de renseignements personnels et une atteinte à la vie privée. Cependant, rien n’a permis de croire que des renseignements identificatoires avaient été utilisés ou divulgués. Les particuliers n’avaient pas été avisés de cette collecte.

L’enquête a également révélé que ces problèmes découlaient de lacunes dans le processus d’appel d’offres et d’approvisionnement de l’université. Ainsi, ce processus ne permettait pas l’examen de l’ensemble de la chaîne d’approvisionnement et n’avait pas permis de relever la présence de technologies de reconnaissance faciale dans des appareils ou d’en évaluer l’utilisation.

Les institutions qui envisagent d’utiliser des technologies intelligentes, particulièrement celles qui comprennent la reconnaissance faciale, doivent s’assurer de bien comprendre ce qu’elles déploient. Elles doivent notamment effectuer une évaluation de l’impact sur la vie privée et une  évaluation des risques associés à l’information, s’il y a lieu, et s’assurer que les fournisseurs externes sont soumis à un contrôle adéquat.

Après l’enquête du CIPVP, l’université a confirmé qu’elle avait cessé d’utiliser ces distributeurs, de sorte qu’il n’y avait plus aucun risque pour les étudiantes et étudiants et les membres du personnel.

Appel à la vigilance concernant la formation des médecins sur le respect de la vie privée

Dans la Décision 260 en vertu de la LPRPS, un hôpital public a signalé une atteinte à la vie privée après que l’un de ses médecins eut accédé à des milliers de dossiers de patients sans autorisation. L’hôpital a mené un audit des accès du médecin et l’a interrogé. Le médecin, qui était au service de l’hôpital depuis peu de temps, a affirmé qu’il se croyait autorisé à examiner les dossiers à des fins de formation. L’hôpital a établi qu’il n’avait pas cherché à accéder aux dossiers de personnes en particulier et qu’il n’entretenait aucune relation personnelle avec les patients en question; toutefois, il avait accédé aux dossiers de près de 4 000 personnes à qui il ne fournissait pas de soins.

L’enquête du CIPVP a révélé que l’hôpital avait adopté des politiques prévoyant une formation sur la protection de la vie privée et la signature d’ententes de confidentialité pour tout le personnel, mais qu’il n’appliquait pas ces exigences à ses médecins. Contrairement aux autres membres du personnel, les médecins ne recevaient pas de formation sur la protection de la vie privée et n’étaient pas tenus de signer chaque année une entente de confidentialité, et leur conformité n’était pas vérifiée. De plus, l’hôpital n’avait établi aucune politique ou directive sur l’utilisation de renseignements personnels sur la santé à des fins de formation, et cette lacune était l’une des causes directes de cette atteinte à la vie privée. 

Au cours des mois qui ont suivi, l’hôpital a apporté des améliorations considérables. Il a mis en place un système électronique pour s’assurer que tous les membres de son personnel, y compris les médecins, reçoivent une formation annuelle sur la protection de la vie privée et signent des ententes de confidentialité mises à jour. Il a également mis en place des systèmes pour surveiller la conformité et effectué un suivi auprès des personnes qui ne reçoivent pas la formation. L’hôpital a également modifié ses politiques pour préciser que le personnel ne peut pas utiliser de renseignements personnels sur la santé à des fins de formation sans autorisation expresse. 

Cette affaire souligne qu’il importe non seulement d’adopter des politiques de protection de la vie privée, mais également de les appliquer, de faire le suivi de la conformité et de s’assurer que tout le personnel, y compris les médecins, respecte les règles et sait ce qui est permis et ce qui est interdit lorsqu’il s’agit d’accéder aux renseignements sur les patients. 

L’élimination sécuritaire des dossiers de santé

Dans la Décision 266 en vertu de la LPRPS, le CIPVP a enquêté sur une plainte concernant une clinique de santé qui n’avait pas éliminé de manière sécuritaire des dossiers papier contenant des renseignements personnels sur la santé. Des dossiers de patients ont été retrouvés dans un bac à recyclage non sécurisé. De nombreux documents avaient été déchiquetés ou déchirés à la main, mais les enquêteurs du CIPVP ont pu récupérer des renseignements délicats comme des noms, des dates de naissance et des antécédents médicaux.

La clinique a reconnu qu’elle n’avait pas établi de politique officielle de protection de la vie privée ou d’élimination de documents et qu’elle donnait des directives informelles de vive voix. L’enquête a révélé que la clinique ne respectait pas les obligations que lui imposait la LPRPS, y compris celle de prendre des mesures raisonnables pour protéger les renseignements personnels sur la santé et les détruire de façon sécuritaire.

En réponse à ces préoccupations, la clinique a mis en place de nouvelles politiques concernant la protection de la vie privée et la gestion des documents, mis à jour son guide de l’employé en y ajoutant des ressources sur la LPRPS et instauré une formation obligatoire du personnel assortie d’attestations écrites, après quoi le dossier a été clos. 

Cette affaire intéressera les dépositaires de renseignements sur la santé qui cherchent à se débarrasser de vieux dossiers de patients à la fin de leur période de conservation. Elle souligne l’importance d’éliminer de façon sécuritaire les renseignements personnels sur la santé et de fournir une formation régulière au personnel sur leurs obligations en matière de protection de la vie privée. Les dossiers papier doivent être détruits au moyen d’une déchiqueteuse à coupe transversale ou à micro-coupe (et non seulement déchirés) afin qu’ils ne puissent être reconstitués. Si cette opération est confiée à un fournisseur externe, un accord officiel doit être conclu énonçant comment les dossiers seront détruits de façon sécuritaire. De plus, les organisations doivent aviser dans les plus brefs délais les particuliers dont les renseignements ont été perdus, volés ou divulgués de façon inappropriée.