droitdu.net

Un site utilisant Plateforme OpenUM.ca

La norme sur la protection des données personnelles pour les compagnies et leurs sous-traitants

13 septembre 2014
Commentaires
Permalien

La divulgation la semaine dernière des photos de la vedette du film Hunger Games et de ses collègues du Show-Business américain a semé l’indignation. Cet évènement soulève beaucoup de questions concernant la norme sur la protection d’informations personnelles sur internet dans l’industrie.

Certains croient qu’Apple a fait preuve de négligence dans la gestion des données de ses clients. Tim Cook affirme au contraire que la faute doit être attribuée aux clients, trop souvent négligents, qui utilisent des mots de passe trop simples. Une enquête en cours permettra de déterminer si Apple a fait preuve ou non de négligence dans la gestion de ses systèmes iCloud et Find My iPhone en évaluant si leur système de protection des données personnelles de clients satisfaisait à la norme dans l’industrie.

Évaluer la responsabilité des entreprises qui gèrent les données personnelles de clients peut s’avérer un travail complexe, surtout lorsque les données transitent entre plusieurs compagnies. En effet, l’externalisation des processus d’affaires permet à des entreprises de déléguer en sous-traitance certains domaines d’activités, comme par exemple, la collecte des données personnelles nécessaires au paiement des clients.

Dans un rapport publié le 23 avril 2014, le Commissariat à la protection de la vie privée du Canada (Commissariat) a procédé à l’analyse de la responsabilité de ce genre de sous-traitant à la lumière de la Loi sur la protection des renseignements personnels et des documents électroniques (loi), lorsque des fuites de données personnelles surviennent.

Le rapport du Commissariat portait sur un cas bien précis. Un citoyen canadien avait acheté des billets sur internet pour assister à un évènement. La compagnie qui vendait les billets faisait affaire avec une compagnie sous-traitante située aux États-Unis, qui était chargée d’enregistrer les données personnelles du client lors de l’achat pour permettre le paiement.

Peu après l’achat, le sous-traitant avait informé le client que leur base de données avait été piratée et que des informations personnelles avaient potentiellement été volées. Le client avait par la suite porté plainte auprès du commissariat en vertu de l’article 11 de la loi contre le sous-traitant puisque, selon lui, ce dernier avait enfreint l’article 5 de la loi.

Le Commissariat a débuté l’analyse en s’assurant qu’elle était compétente pour entendre la plainte. L’article 4 (1) a) prévoit que la première partie de la loi s’applique à toute organisation à l’égard des renseignements personnels qu’elle recueille, utilise ou communique dans le cadre d’activités commerciales. Le commissariat précise également au paragraphe 7 du rapport que l’activité commerciale doit avoir un lien substantiel avec le Canada.

L’existence de l’activité commerciale n’était pas contestée par le sous-traitant. La commissaire devait uniquement établir s’il existait un lien substantiel entre la compagnie sous-traitante américaine offrant des services de paiement sur internet et le Canada. Le Commissariat conclut que puisque la compagnie sous-traitante faisait affaire avec des compagnies qui offraient des services au Canada, elle était évidemment amenée à recueillir des renseignements de Canadiens. Cette conclusion était suffisante pour établir à l’existence d’un lien substantiel entre l’activité commerciale du sous-traitant américain et le Canada.

Une fois la compétence établie, il était nécessaire de démontrer la responsabilité du sous-traitant dans de la fuite des données personnelles de Canadiens en établissant la négligence dans la gestion des données recueillies.

L’enquête du Commissariat a permis de conclure que les moyens utilisés par l’organisme satisfaisaient à une certaine norme présente dans l’industrie. Au paragraphe 12 du rapport, la commissaire établit la liste des moyens utilisés par le sous-traitant pour protéger sa base de données :

L’organisation avait notamment recours (i) à des pare-feux; (ii) au hachage et au chiffrage des renseignements de nature délicate; (iii) au brouillage des clés de chiffrement, qui étaient en outre stockées séparément; (iv) à de multiples systèmes de détection des intrusions (grâce auxquels l’intrusion a été détectée). L’efficacité de ces mesures de sécurité est évaluée de façon régulière et indépendante au moyen de tests de vulnérabilités externes et d’une vérification des pratiques de protection des données « au repos » au regard des normes de l’industrie.

Le Commissariat en arrive donc à la conclusion que bien qu’une fuite de documents se soit réellement produite, il s’agissait d’un évènement qui ne pouvait raisonnablement être prévenu. Le Commissariat va même jusqu’à saluer les moyens utilisés, après le piratage, parle le sous-traitant pour s’assurer que ce genre d’accident ne se reproduise pas.

Dans une décision rendue le 7 août 2014, la Commission nationale de l’informatique et des libertés avait condamné la compagnie Orange pour avoir manqué à ses obligations concernant la protection des données personnelles de ses clients.  Dans cette affaire, bien qu’une compagnie sous-traitante était chargée de s’assurer de la fiabilité du système de protection des données personnelles, le CNIL avait tout de même reconnu la responsabilité de la compagnie Orange en affirmant qu’elle était légalement tenue à titre de responsable de traitement des données personnelles.

Il est intéressant de constater que dans le rapport du 23 avril 2014, le Commissariat à la protection de la vie privée n’a pas analysé la responsabilité de la compagnie qui vendait les billets puisque le client n’avait pas porté plainte contre elle. Pourtant, l’annexe 1 de la Loi sur la protection des renseignements personnels et des documents électroniques prévoit une obligation de même nature que l’article 34 de la loi Informatique et Libertés pour les compagnies sous-traitant certains de leurs services.

La norme applicable dans l’industrie concernant les moyens devant être utilisés pour protéger les données personnelles sur internet est un concept qui peut être débattu. Le développement des technologies informatiques est exponentiel et procure des moyens toujours plus grands pour les pirates informatiques afin d’arriver à leur buts. Cette norme de l’industrie devra également s’intensifié de manière exponentielle pour satisfaire aux exigences de la loi.

Sur le même sujet

Derniers tweets