La cyberattaque dont l’entreprise Equifax, une importante agence d’évaluation de crédit, a été victime récemment est d’une ampleur inégalée, affectant les renseignements personnels les plus sensibles des individus, soit ceux qui, colligés en un tout, peuvent clairement mettre en péril leur sécurité financière, comme son nom, sa date de naissance, son numéro d’assurance sociale, son adresse et ses numéros de cartes de crédit et de permis de conduire. Cette énorme brèche de sécurité informatique risque de créer une vague sans précédent de fraudes et de vols d’identité. Le 7 septembre dernier, Equifax avisait qu’environ 143 millions d’américains étaient touchés, mais aussi un nombre indéterminé de Canadiens.

Les atteintes aux mesures de sécurité informatiques des organisations deviennent de plus en plus fréquentes. Ainsi, en 2015, le gouvernement fédéral canadien a modifié certaines dispositions de la Loi sur la protection des renseignements personnels et documents électroniques (ci-après : « PIPEDA »), en ajoutant, entre autres, une section précise concernant les atteintes aux mesures de sécurité, soit les articles 10.1 et suivants. Il est important de noter que cette nouvelle section n’est toujours pas en vigueur au Canada et aucune réglementation n’a encore été rédigée pour la compléter. Considérant les derniers événements, le gouvernement fédéral doit maintenant passer à l’acte et effectuer les actions qui s’imposent pour lui donner force de loi.

Toutefois, précisons que ces nouvelles dispositions, malgré le fait qu’elles ne soient pas en vigueur, devraient tout de même être considérées comme ayant un certain pouvoir contraignant auprès des entreprises, méritant donc d’être respectées. En effet, celles-ci pourraient se traduire comme faisant partie de la lex electronica, soit de « l’ensemble des normes juridiques informelles applicables dans le commerce électronique international ». Autrement dit, ces nouvelles dispositions sont l’expression d’un « usage » reconnu à l’échelle internationale dans l’ère moderne des transactions électroniques, soit d’avertir les usagers de la découverte d’atteintes aux mesures de sécurité informatiques des organisations pouvant affecter leurs renseignements personnels.

Ainsi, analysons très brièvement quelques nouvelles dispositions de la loi PIPEDA au regard du cas d’Equifax ? D’abord, on indique, au paragraphe 2 de l’article 10.1, que l’organisation victime d’une atteinte à ses mesures de sécurité doit déclarer celle-ci, et ce, « le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte ». Il faut donc que l’organisation en arrive à cette fameuse « conclusion qu’il y a eu atteinte » avant d’avoir l’obligation de déclarer la situation. Selon un communiqué d’Equifax daté du
15 septembre 2017, des activités suspectes avaient été remarquées par l’entreprise les 29 et 30 juillet 2017. Une enquête avait alors débuté. Ce n’est que le 7 septembre 2017, soit plus d’un mois plus tard, que l’entreprise annonçait sa conclusion à l’effet que des millions de renseignements personnels avaient été piratés. Mais encore, nous apprenons qu’Equifax avait été officiellement avisée en mars 2017 d’une vulnérabilité de sécurité d’une des applications qu’elle utilisait, ayant cru avoir réglé la problématique avec son équipe de sécurité informatique. Bref, nous pouvons comprendre qu’il peut devenir difficile de déterminer le moment où il y a eu « conclusion » par l’organisation qu’il y a effectivement eu atteinte. Avant cette conclusion, pendant l’enquête interne par exemple, aucune obligation de divulgation ne pèse sur l’organisation, pouvant alors être incitée à attendre à la dernière minute avant de « conclure qu’il y a eu atteinte ». Au surplus, il faut se demander ce qui peut être considéré comme étant « une atteinte » aux mesures de sécurité? Est-ce que des « activités suspectes » ou une simple « brèche de sécurité » peuvent s’assimiler à une atteinte aux mesures de sécurité? Et que faire d’un cas de « risque d’atteinte » ou de « menace d’atteinte » aux mesures de sécurité? Rien n’est clair à ce niveau.

Aux paragraphes 3, 4 et 5 de l’article 10.1 de PIPEDA, l’organisation est tenue d’aviser le plus tôt possible, directement ou indirectement (dépendamment de la réglementation qui sera rédigée ultérieurement), chaque personne qui aurait été victime de l’atteinte aux mesures de sécurité relative à ses renseignements personnels. Le but ultime de cet avis est de s’assurer que la victime puisse prendre toutes les mesures nécessaires pour réduire ou atténuer le risque de préjudice. Bref, à ce stade-ci, nous ne savons pas si l’avis collectif d’Equifax dans les médias, de même que de la création d’un site internet spécialement conçu pour informer la population en général sur cette atteinte aux mesures de sécurité, sont suffisants. Il faut considérer le fait que des millions de personnes ont été affectées, créant une situation où la transmission d’avis individuels s’avère quasi-impossible dans un bref délai. Ainsi, « le plus tôt possible » pour le cas d’Equifax pourrait représenter plusieurs mois d’attentes avant de recevoir un avis individuel, pour ne pas dire jamais pour certains, compte tenu de l’ampleur de la situation. Des démarches proactives des citoyens canadiens, faisant alors preuve de diligence, s’avèrent nécessaires dans les présentes circonstances afin de minimiser leurs dommages.

Enfin, à l’article 10.3, l’organisation a l’obligation de conserver un registre de toutes les atteintes aux mesures de sécurité en lien avec les renseignements personnels qu’elle gère. À ce niveau, dans le cas particulier d’Equifax, cette obligation est redondante avec le paragraphe 1 de l’article 10.1, puisque pratiquement toute atteinte aux mesures de sécurité de ce type d’entreprise présente un risque réel de préjudice grave à l’endroit d’un individu. En étant obligé de déclarer ce type d’atteinte, le registre se constituera automatiquement. Par conséquent, le registre obligatoire de l’article 10.3, incluant sa durée de conservation, devrait être étoffé par une réglementation précise, comme en obligeant d’y inscrire toutes les dénonciations de brèches de sécurité qui auraient été divulguées à l’entreprise, de conserver toutes les traces des enquêtes effectuées à l’interne quant à celles-ci et d’y tenir à jour les politiques et procédures appliquées par l’entreprise dans le cas d’atteintes potentielles aux mesures de sécurité, et ce, afin d’en garantir son utilité réelle.

Bref, les cyberattaques pouvant créer des vols d’identité et affecter la sécurité financière de la population est le nouveau fléau de l’ère technologique dans laquelle nous vivons. Il faut réfléchir sérieusement au processus pratique qui devra être appliqué par les organisations suite aux atteintes à leurs mesures de sécurité afin d’adopter, par exemple, une réglementation pertinente et fonctionnelle qui s’arrimera avec PIPEDA. La législation canadienne doit donc être rédigée d’une façon à pouvoir s’adapter à tous les types d’atteintes, mais plus particulièrement aux cas les plus graves, comme celui en l’espèce. Des obligations plus sévères et des conséquences plus lourdes devraient être prévues pour des entreprises qui colligent des renseignements personnels d’une grande sensibilité comme Equifax, rappelant que l’amende maximale prévue par PIPEDA pour l’organisation qui contrevient « intentionnellement » à l’article 10.1 est de 100 000 $, ce qui est un montant ridicule pour une entreprise de cette ampleur, ayant peu d’effet dissuasif.