Nous avons pour objectif de favoriser la confiance dans le système de soins de santé numérique en veillant à ce que les dépositaires respectent les droits de la population ontarienne en matière de protection de la vie privée et d’accès à l’information, et l’utilisation novatrice des renseignements personnels sur la santé à des fins de recherche et d’analytique dans la mesure où elle sert le bien public.
Notre travail pour atteindre cet objectif comprend les ressources ci-dessous.
Dans cet épisode spécial de L’info, ça compte, la commissaire Patricia Kosseim présente une rétrospective de ses entretiens marquants de la quatrième saison. De jeunes élèves du secondaire font part de leur opinion sur la protection de la vie privée, Cynthia Khoo parle de reconnaissance faciale et Robert Fabes nous dit ce que les personnes en situation d’itinérance pensent de la vie privée. Le Dr Devin Singh discute de l’IA dans les soins de santé, et Priya Shastri de WomanAct traite de la communication de renseignements afin de planifier la sécurité des survivantes de violence conjugale. Cet épisode aborde également le recours aux outils éducatifs numériques en classe, la médiation dans les appels de décisions relatives à l’accès à l’information au CIPVP, la Vitrine de la transparence du CIPVP et des affaires dont le CIPVP a été saisi concernant des cyberattaques et des dossiers abandonnés dans le secteur de la santé.
Le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) a reçu une plainte selon laquelle une clinique de santé avait omis d’éliminer de manière sécuritaire des dossiers de renseignements personnels sur la santé (RPS). Des photos de dossiers de patients qui avaient été jetés dans un bac de recyclage non sécurisé ont été fournies pour étayer les allégations. Le CIPVP a écrit à la clinique au sujet de ces allégations. Elle lui a remis un rapport qui a soulevé des préoccupations supplémentaires, et le CIPVP a entamé une enquête sur cette affaire.
L’enquêteuse du CIPVP a pris possession des dossiers récupérés dans le bac de recyclage. Bon nombre avaient été déchiquetés ou déchirés à la main, mais l’enquêteuse a pu récupérer certains renseignements de nature délicate, notamment des dates de rendez-vous, des antécédents médicaux déclarés par un patient, la date de naissance d’un patient et le nom complet de six autres patients associés à la clinique.
Au cours de l’enquête, la clinique a expliqué que le personnel avait commencé à éliminer des dossiers pour libérer de l’espace. Certains dossiers avaient été déchiquetés, et d’autres avaient été déchirés à la main, car la déchiqueteuse était bruyante et aurait pu déranger des patients pendant leur rendez-vous. Le personnel d’entretien passait prendre les dossiers éliminés deux fois par semaine et les jetait dans une benne située dans un garage verrouillé du centre commercial où se trouve la clinique. L’éboueur local passait prendre les ordures toutes les semaines.
La clinique a convenu que le personnel d’entretien aurait pu accéder à des documents qui n’avaient pas été détruits de manière sécuritaire. Elle a reconnu qu’elle aurait dû prendre des mesures supplémentaires pour assurer l’élimination sécuritaire de ces renseignements. La clinique a également indiqué qu’elle n’avait pas adopté de politiques ou de procédures écrites de conservation, de destruction et d’élimination sécuritaires des dossiers. Elle donnait plutôt des directives verbales au personnel, et elle a reconnu que ces directives étaient insuffisantes.
La clinique a avisé par lettre les patients qui étaient concernés par cette atteinte à la vie privée. Plus tard, elle a envoyé une autre lettre à près de 500 patients qui étaient peut-être concernés également.
Conclusions
L’enquêteuse a constaté qu’au moment de l’atteinte à la vie privée, la clinique enfreignait plusieurs dispositions de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS). Ainsi, les dépositaires de renseignements sur la santé doivent :
prendre des mesures raisonnables pour protéger les renseignements personnels sur la santé [par. 12 (1)];
conserver et éliminer les dossiers de manière sécuritaire [par. 13 (1)];
adopter des pratiques relatives aux renseignements qui sont adéquates [par. 10 (1)];
suivre ces pratiques [par. 10 (2)].
L’enquêteuse a conclu qu’en raison de l’absence de mesures de précaution, la clinique n’avait pas été en mesure de s’assurer que les dossiers de RPS dont elle avait la garde ou le contrôle étaient conservés et éliminés de manière sécuritaire. En réponse aux préoccupations de l’enquêteuse, la clinique a élaboré et mis en place des politiques et fourni une formation. Ainsi, elle a adopté une politique de confidentialité régissant la collecte, l’utilisation, la modification, la divulgation, la conservation et l’élimination de RPS. La clinique a également établi une politique sur les dossiers de clients énonçant des mesures précises à prendre pour protéger ces dossiers et les éliminer de manière sécuritaire.
Tous les membres du personnel ont été tenus d’examiner les nouvelles politiques et d’attester par écrit qu’ils les comprenaient et les respecteraient. Deux séances de formation ont également été tenues pour familiariser le personnel avec les pratiques de confidentialité mises à jour, et la clinique s’est engagée à fournir une formation deux fois par année à l’avenir. Elle a également mis à jour son guide de l’employé en y ajoutant des ressources sur ses obligations en vertu de la LPRPS, y compris une vidéo de formation sur la LPRPS et des liens vers la loi et d’autres ressources.
L’enquêteuse a conclu que, grâce à ces mesures correctives, la clinique était conforme à la LPRPS.
Enfin, l’enquêteuse a conclu que l’élimination de RPS de manière non sécuritaire constituait une perte de RPS, de sorte que la clinique était tenue d’aviser tous les particuliers concernés. La clinique avait envoyé une lettre d’avis, mais l’enquêteuse a constaté qu’elle présentait une lacune (qui a été comblée) et elle estimait que cet avis aurait dû avoir été donné plus tôt. Cependant, dans l’ensemble, l’enquêteuse considérait que la clinique avait donné l’avis exigé au paragraphe 12 (2) de la LPRPS.
Principaux constats
Les dépositaires de renseignements sur la santé (DRS) doivent protéger les RPS de leurs patients en tout temps, y compris pendant l’élimination des dossiers.
Les DRS doivent établir des politiques de confidentialité décrivant comment ils doivent recueillir, utiliser, modifier, divulguer, conserver ou éliminer des RPS. Ces politiques doivent préciser les mesures à prendre pour protéger les dossiers des patients et en assurer l’élimination de manière sécuritaire.
Les procédures à suivre pour assurer l’élimination des dossiers de manière sécuritaire reposent en partie sur le support utilisé. S’il s’agit de dossiers sur papier, comme c’était le cas en l’occurrence, il ne faut pas simplement les déchirer à la main. Il faut les déchiqueter correctement au moyen d’une déchiqueteuse à coupe transversale ou à micro-coupe afin qu’ils ne puissent être reconstitués. Cette opération peut avoir lieu sur place ou, si elle est confiée à un fournisseur externe, un contrat ou un accord officiel doit être conclu prévoyant la nécessité d’assurer la sécurité et la confidentialité des dossiers au cours du processus d’élimination et précisant la méthode d’élimination qui doit être employée.
Les DRS doivent fournir à tous les membres de leur personnel une formation régulière sur les politiques et pratiques de confidentialité et sur l’élimination des dossiers de clients de manière sécuritaire. Les employés devraient suivre une formation annuelle et signer une attestation écrite selon laquelle ils ont lu et compris les politiques de confidentialité.
Les DRS doivent aviser les particuliers concernés en cas de vol ou de perte de renseignements personnels sur la santé dont ils ont la garde ou le contrôle, ou en cas d’utilisation ou de divulgation non autorisée de ces renseignements. L’élimination de façon non sécuritaire de RPS constitue une perte de RPS, ce qui donne lieu à l’obligation d’aviser les particuliers concernés.
Les observations du CIPVP sur les modifications proposées au Règlement de l'Ontario 329/04 pour soutenir le transfert du Système d’information sur les soins aux malades en phase critique de la Hamilton Health Sciences Corporation à Ornge, et pour maintenir les pratiques et les procédures pour assurer la protection continue des informations personnelles de santé pendant le transfert.
L’annexe 6 du projet de loi 231, la Loi de 2024 pour plus de soins commodes, instaure une initiative complexe visant à permettre aux Ontariennes et aux Ontariens d’utiliser un identifiant Santé numérique pour accéder à leurs dossiers de santé. Elle apporte des changements importants à la loi ontarienne sur la protection des renseignements personnels sur la santé qui mettent en péril la confidentialité des renseignements sur la santé des Ontariennes et des Ontariens et limite, au lieu de favoriser, leur droit d’accès à ces renseignements.
Ce rapport d’enquête conjoint sur la cyberattaque commise en 2019 contre les systèmes informatiques de LifeLabs a été dressé en juin 2020. Ce rapport (disponible en anglais uniquement) fait suite au rejet par la Cour d’appel de l’Ontario de la motion de LifeLabs visant à en interdire la publication.
Un hôpital public a appris qu’un dossier de patient avait fait l’objet de consultations suspectes. Il a mené une enquête comprenant un audit ciblé. Cet audit a révélé qu’un médecin avait accédé à près de 4 000 dossiers de patients sans autorisation à partir d’un poste de travail éloigné, après les heures de travail. Ce médecin ne fournissait de soins à aucun de ces patients.
Le médecin a reconnu avoir accédé à distance aux dossiers de santé électroniques à des fins de formation, croyant que cette utilisation était autorisée. L’hôpital n’a relevé aucune indication de divulgation ou d’accès inapproprié après avoir soulevé cette question auprès du médecin. À la suite de cette atteinte à la vie privée, le médecin a dû suivre une formation sur la protection de la vie privée en 2023 et 2024.
Au moment de l’atteinte à la vie privée, l’hôpital n’avait pas adopté de politique concernant l’utilisation de renseignements personnels sur la santé à des fins de formation. Les médecins de l’hôpital, y compris le médecin en question, n’avaient pas reçu de formation sur la protection de la vie privée ou sur l’utilisation de renseignements personnels sur la santé à de telles fins. L’hôpital a affirmé fournir une formation sur la protection de la vie privée à ses mandataires autres que des médecins au moment de leur embauche et chaque année par la suite. Cependant, il a constaté que seulement 50,4 % des mandataires autres que des médecins avaient suivi cette formation en 2023.
En vertu de la politique de l’hôpital, tous les mandataires, y compris les médecins, devaient signer une entente de confidentialité au moment de leur embauche et chaque année par la suite. Au cours de l’enquête, il est apparu que le médecin en question avait signé une telle entente lors de son embauche, mais pas chaque année par la suite. L’hôpital a expliqué qu’au moment de l’atteinte à la vie privée, il n’avait établi aucun processus structuré pour la signature des ententes de confidentialité et la vérification du respect de cette exigence auprès des médecins. Comme dans le cas des exigences en matière de formation sur la protection de la vie privée, l’hôpital a découvert que seulement 50,4 % de ses mandataires autres que des médecins avaient signé une entente de confidentialité en 2023.
Conclusions
L’hôpital a signalé l’atteinte à la vie privée au Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP). L’enquêteuse du CIPVP a constaté qu’au moment de l’atteinte à la vie privée, l’hôpital enfreignait la LPRPS pour les raisons suivantes :
il ne fournissait pas aux médecins une formation sur la protection de la vie privée;
il ne s’assurait pas que les médecins signaient une entente de confidentialité chaque année;
il ne veillait pas à ce que ses mandataires autres que des médecins suivent également la formation requise et signent une entente de confidentialité chaque année;
il n’avait pas adopté de politiques ou de lignes directrices sur l’utilisation de renseignements personnels sur la santé à des fins de formation.
L’hôpital a comblé ces lacunes en instaurant un système électronique de certification. Un responsable de la protection de la vie privée a été chargé de s’assurer que tous les mandataires, y compris les médecins, suivent leur formation obligatoire initiale et annuelle sur la protection de la vie privée.
L’hôpital a également demandé au médecin en question de signer une nouvelle entente de confidentialité. De plus, en 2024, tous les médecins ont été tenus de signer à nouveau une entente de confidentialité par l’entremise du système en ligne de certification et de suivi. Comme pour le suivi de la formation sur la protection de la vie privée, la signature des ententes de confidentialité est incluse dans cette formation, et le responsable de la protection de la vie privée en fait le suivi.
En outre, l’hôpital a mis à jour et renforcé ses politiques et ententes de confidentialité afin de donner des directives claires à tous ses mandataires, y compris ses médecins, concernant l’utilisation des renseignements personnels sur la santé à des fins de formation.
Grâce à ces mesures, la totalité des médecins (y compris celui ayant commis l’attente à la vie privée) ont suivi une formation sur la protection de la vie privée et signé une entente de confidentialité annuelle en 2024. De même, tous les mandataires autres que des médecins à temps plein et à temps partiel ont respecté ces exigences en 2024.
Comme l’hôpital a pris des mesures pour régler les problèmes relevés en matière de protection de la vie privée, l’enquêteuse a jugé qu’il respectait l’article 10 et le paragraphe 12 (1) de la LPRPS. Elle a conclu qu’il n’était pas nécessaire de procéder à un examen officiel en vertu de la LPRPS et a clos le dossier.
Principaux constats
Les dépositaires de renseignements sur la santé doivent fournir à tous les mandataires, y compris les médecins, une formation sur la protection de la vie privée au moment de leur embauche et chaque année par la suite. Cette formation doit comprendre des lignes directrices sur l’utilisation de renseignements personnels sur la santé à des fins de formation, conformément aux politiques du dépositaire. Cette formation devrait être mise à jour régulièrement afin de fournir à tous les mandataires des directives claires et à jour sur les utilisations autorisées des renseignements personnels sur la santé.
Les dépositaires de renseignements sur la santé doivent adopter des politiques de confidentialité exhaustives, qui mentionnent expressément l’utilisation de renseignements personnels sur la santé à des fins de formation. Ces politiques doivent également contenir des directives claires à l’intention des mandataires, y compris les médecins, sur les attentes et exigences concernant la formation sur la protection de la vie privée et les ententes de confidentialité. De plus, il faut examiner régulièrement ces politiques de confidentialité pour s’assurer qu’elles demeurent conformes aux lois et règlements en vigueur sur la protection de la vie privée.
Les dépositaires de renseignements sur la santé doivent s’assurer que tous leurs mandataires, y compris les médecins, signent chaque année une entente de confidentialité dont ils attestent avoir lu et compris le contenu.
Les dépositaires de renseignements sur la santé devraient mettre en place un système de suivi de la conformité pour s’assurer que tous les mandataires, y compris les médecins, ont suivi leur formation sur la protection de la vie privée et signé une entente de confidentialité, conformément aux politiques établies.
Dans sa lettre, la commissaire Kosseim recommande au ministère de reconsidérer sa proposition visant à faciliter l'accès facile et pertinent des Ontariens à leurs dossiers dans le dossier de santé électronique provincial. La commissaire recommande également au ministère d'examiner attentivement la transparence et la responsabilisation de l'écosystème numérique proposé pour accéder à ces dossiers.
Une personne prescrite en vertu de la Loi sur la protection des renseignements personnels sur la santé a signalé une atteinte à la protection des renseignements personnels au CIPVP concernant une cyberattaque qui a entraîné la copie non autorisée de renseignements personnels sur la santé d’environ 3,4 millions de personnes, lesquels se trouvaient dans le serveur de transfert sécurisé de fichiers de la personne prescrite. Les auteurs de menace ont obtenu un accès non autorisé au serveur en exploitant une vulnérabilité de jour zéro dans le logiciel de transfert de fichiers, MOVEit, qui était installé dans ce serveur.
Les décisions suivantes font suite à des cyberattaques distinctes dont quatre organisations différentes ont été la cible. Trois de ces cyberattaques ont été commises contre des dépositaires de renseignements sur la santé assujettis à la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) et la quatrième a pris pour cible une société d’aide à l’enfance assujettie à la partie X de la Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille (LSEJF). Dans ces quatre affaires, les organisations ont soutenu qu’elles n’avaient pas l’obligation d’aviser les particuliers concernés, car rien ne permettait de croire que des renseignements personnels sur la santé ou des renseignements personnels avaient été subtilisés (ou exfiltrés) de leurs systèmes. Le Bureau du commissaire à l’information et à la protection de la vie privée (CIPVP) était en désaccord, et a conclu que la perte ou l’utilisation ou la divulgation non autorisée de renseignements personnels (ou de renseignements personnels sur la santé) donnait lieu à l’obligation d’aviser les particuliers concernés, même si la cyberattaque n’avait pas entraîné l’exfiltration de renseignements.
Conclusions
Dans la Décision 19 en vertu de la LSEJF,1 la Société d’aide à l’enfance de Halton (SAE) a été victime en février 2022 d’une attaque par rançongiciel qui a causé le chiffrement total de certains de ses systèmes. Ce chiffrement a été effectué au niveau du conteneur et non à celui des dossiers. L’entreprise de criminalistique chargée d’analyser l’attaque a établi que le chiffrement de certains serveurs de la SAE commis par l’auteur de menace « n’avait pas entraîné l’accès aux données ou l’exfiltration de données » contenues dans ces serveurs.
L’arbitre a conclu que le chiffrement des serveurs contenant des renseignements personnels avait donné lieu à l’utilisation non autorisée et à la perte de ces renseignements au sens du paragraphe 308 (2) de la LSEJF. La SAE avait l’obligation d’aviser les particuliers concernés « à la première occasion raisonnable ». Cependant, l’arbitre a établi qu’en l’occurrence, il n’était pas nécessaire de donner un avis direct étant donné les facteurs pertinents, dont la diligence avec laquelle la SAE avait maîtrisé la cyberattaque et y avait remédié, et le temps qui s’était écoulé. L’arbitre a ordonné à la SAE de fournir un avis public indirect dans les 30 jours suivant la date de sa décision, soit en publiant un avis général dans son site Web, soit d’une autre façon.
Dans la Décision 253 en vertu de la LPRPS,2 le Hospital for Sick Children a été la cible d’une attaque par rançongiciel en décembre 2022. L’auteur de menace a chiffré de nombreux serveurs de l’hôpital au niveau du conteneur. Bon nombre de ces serveurs contenaient des renseignements personnels sur la santé. L’enquête n’a pas permis d’établir que des renseignements personnels sur la santé avaient été consultés ou subtilisés. Immédiatement après l’attaque et au cours des semaines qui ont suivi, l’hôpital a publié des mises à jour dans son site Web et dans les médias sociaux pour informer le public de cette attaque et des progrès de l’enquête et des mesures correctives.
L’arbitre a établi que l’attaque par rançongiciel avait donné lieu à l’utilisation non autorisée et à la perte de renseignements personnels sur la santé au sens du paragraphe 12 (2) de la LPRPS. L’hôpital avait donc l’obligation de donner un avis en vertu de la LPRPS, ce qu’il a fait. Cependant, l’arbitre a conclu que l’avis de l’hôpital n’était pas conforme au paragraphe 12 (2) de la LPRPS, car il ne comportait pas d’énoncé précisant le droit de porter plainte au CIPVP. Cependant, compte tenu du fait que l’hôpital avait réagi adéquatement, de l’ensemble des circonstances et du temps écoulé, l’arbitre a estimé qu’il ne serait pas utile d’ordonner la remise d’un avis révisé et a donc conclu son examen sans rendre d’ordonnance.
Dans la Décision 254 en vertu de la LPRPS, le Bureau de santé publique de Kingston, Frontenac, Lennox et Addington a été la cible d’une attaque par rançongiciel en juin 2021. Le bureau de santé a confirmé que l’auteur de menace avait chiffré plus de 8 000 dossiers de patients dans ses serveurs. Bien que l’enquête ait permis de découvrir des outils associés à l’exfiltration de données dans certains serveurs qui contenaient des renseignements personnels sur la santé, rien ne permettait de croire que l’auteur de menace avait subtilisé des renseignements. Le bureau de santé a déclaré que « toutes les données importantes avaient pu être déchiffrées » après paiement d’une rançon. Après l’incident, le bureau de santé a publié des communiqués de presse informant le public de cette attaque et des progrès de ses mesures de rétablissement.
Comme dans la Décision 253 en vertu de la LPRPS, l’arbitre a conclu que l’attaque par rançongiciel avait donné lieu à l’utilisation non autorisée et à la perte de renseignements personnels sur la santé au sens du paragraphe 12 (2) de la LPRPS. Par conséquent, le bureau de santé avait l’obligation de donner un avis en vertu de la LPRPS. L’arbitre a établi que l’avis du bureau de santé n’était pas conforme au paragraphe 12 (2) de la LPRPS, car il aurait dû être plus détaillé et indiquer le droit de porter plainte au CIPVP. Cependant, compte tenu du fait que le bureau de santé avait réagi adéquatement, de l’ensemble des circonstances et du temps écoulé, l’arbitre a estimé qu’il ne serait pas utile d’ordonner la remise d’un avis supplémentaire et a donc conclu son examen sans rendre d’ordonnance.
Dans la Décision 255 en vertu de LPRPS, le Bureau de santé du district de Simcoe Muskoka a été la cible d’un hameçonnage par courriel en juillet 2022. L’auteur de menace a obtenu l’accès à un compte de courrier électronique du bureau de santé contenant environ 20 000 courriels, dont environ 1 000 courriels contenant des renseignements personnels sur la santé. L’enquête du bureau de santé a permis d’établir que l’auteur de menace n’avait ni envoyé ni réacheminé de courriels du compte en question. L’enquête de criminalistique a également permis de constater qu’il n’avait accédé que pendant une heure à ce seul compte de courrier électronique. Au cours de l’examen du CIPVP, le bureau de santé a envoyé des lettres détaillées aux particuliers dont les renseignements personnels sur la santé auraient pu avoir été touchés par cette attaque.
L’arbitre a conclu que selon la prépondérance des probabilités, l’accès de l’auteur de menace à un compte de courrier électronique du bureau de santé avait donné lieu à l’utilisation non autorisée et à la perte de renseignements personnels sur la santé. Par conséquent, l’obligation d’aviser les particuliers concernés en vertu du paragraphe 12 (2) de la LPRPS s’appliquait. Bien que le bureau de santé ait donné un avis direct aux particuliers pendant l’examen du CIPVP, l’arbitre a conclu qu’il aurait dû l’avoir fait à la première occasion raisonnable. Dans les circonstances, l’arbitre a conclu l’examen sans rendre d’ordonnance.
Principales constatations
Le chiffrement par un auteur de menace de renseignements personnels (ou de renseignements personnels sur la santé), qui rend les renseignements inaccessibles, peut constituer une perte ou encore une utilisation ou une divulgation non autorisée de ces renseignements. Cette règle s’applique même sans exfiltration ni consultation de fichiers, et elle donne lieu à l’obligation d’aviser les particuliers concernés.
Le chiffrement transforme les renseignements personnels (ou les renseignements personnels sur la santé) de sorte qu’ils sont inaccessibles à leurs utilisateurs autorisés. Rendre les documents inaccessibles au dépositaire de renseignements sur la santé ou au fournisseur de services en vue de les utiliser, de les divulguer ou de les manipuler à des fins non autorisées revient à les « employer » ou à les « traiter ». En d’autres mots, ces renseignements sont utilisés au sens de la LPRPS et de la LSEJF.
Les renseignements qui sont inaccessibles aux utilisateurs autorisés en raison d’une activité non autorisée sont également « perdus » au sens du paragraphe 12 (2) de la LPRPS et du paragraphe 308 (2) de la LSEJF. En chiffrant un serveur, l’auteur de menace empêche les utilisateurs autorisés d’accéder aux renseignements personnels (ou aux renseignements personnels sur la santé) dont ils ont besoin pour fournir des services. Il y a donc perte de renseignements, même si ce n’est que pendant une brève période.
Le fait que les renseignements ont été récupérés après avoir été inaccessibles en raison d’une attaque par rançongiciel ne soustrait pas à l’obligation d’aviser les particuliers concernés en vertu du paragraphe 12 (2) de la LPRPS et du paragraphe 308 (2) de la LSEJF.
Il est possible de respecter l’obligation d’aviser les particuliers concernés de diverses façons. Pour déterminer le type d’avis à donner, l’organisation doit tenir compte des circonstances pertinentes, dont les suivantes :
le nombre de particuliers qui pourraient avoir été touchés par la cyberattaque.
la question de savoir si la réponse à la cyberattaque a été adéquate.
le volume et le caractère délicat des renseignements concernés.
toute indication selon laquelle l’attaque continue de poser des risques pour la vie privée.
Il arrive que les cybercriminels chiffrent des renseignements personnels pour les rendre inaccessibles à l’institution et paralyser ses activités. Parfois, ils parviennent à accéder aux serveurs d’une institution et menacent de publier des renseignements personnels délicats en ligne. Lorsqu’elles sont la cible d’une cyberattaque, les institutions doivent agir rapidement pour colmater la brèche de cybersécurité, rétablir leurs activités et aviser les particuliers dont des renseignements personnels auraient pu avoir été touchés.
Notes
Cette décision fait actuellement l’objet d’une révision judiciaire et d’un appel.
Cette décision fait actuellement l’objet d’une révision judiciaire.
Les décisions suivantes font suite à des cyberattaques distinctes dont quatre organisations différentes ont été la cible. Trois de ces cyberattaques ont été commises contre des dépositaires de renseignements sur la santé assujettis à la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) et la quatrième a pris pour cible une société d’aide à l’enfance assujettie à la partie X de la Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille (LSEJF). Dans ces quatre affaires, les organisations ont soutenu qu’elles n’avaient pas l’obligation d’aviser les particuliers concernés, car rien ne permettait de croire que des renseignements personnels sur la santé ou des renseignements personnels avaient été subtilisés (ou exfiltrés) de leurs systèmes. Le Bureau du commissaire à l’information et à la protection de la vie privée (CIPVP) était en désaccord, et a conclu que la perte ou l’utilisation ou la divulgation non autorisée de renseignements personnels (ou de renseignements personnels sur la santé) donnait lieu à l’obligation d’aviser les particuliers concernés, même si la cyberattaque n’avait pas entraîné l’exfiltration de renseignements.
Conclusions
Dans la Décision 19 en vertu de la LSEJF,1 la Société d’aide à l’enfance de Halton (SAE) a été victime en février 2022 d’une attaque par rançongiciel qui a causé le chiffrement total de certains de ses systèmes. Ce chiffrement a été effectué au niveau du conteneur et non à celui des dossiers. L’entreprise de criminalistique chargée d’analyser l’attaque a établi que le chiffrement de certains serveurs de la SAE commis par l’auteur de menace « n’avait pas entraîné l’accès aux données ou l’exfiltration de données » contenues dans ces serveurs.
L’arbitre a conclu que le chiffrement des serveurs contenant des renseignements personnels avait donné lieu à l’utilisation non autorisée et à la perte de ces renseignements au sens du paragraphe 308 (2) de la LSEJF. La SAE avait l’obligation d’aviser les particuliers concernés « à la première occasion raisonnable ». Cependant, l’arbitre a établi qu’en l’occurrence, il n’était pas nécessaire de donner un avis direct étant donné les facteurs pertinents, dont la diligence avec laquelle la SAE avait maîtrisé la cyberattaque et y avait remédié, et le temps qui s’était écoulé. L’arbitre a ordonné à la SAE de fournir un avis public indirect dans les 30 jours suivant la date de sa décision, soit en publiant un avis général dans son site Web, soit d’une autre façon.
Dans la Décision 253 en vertu de la LPRPS,2 le Hospital for Sick Children a été la cible d’une attaque par rançongiciel en décembre 2022. L’auteur de menace a chiffré de nombreux serveurs de l’hôpital au niveau du conteneur. Bon nombre de ces serveurs contenaient des renseignements personnels sur la santé. L’enquête n’a pas permis d’établir que des renseignements personnels sur la santé avaient été consultés ou subtilisés. Immédiatement après l’attaque et au cours des semaines qui ont suivi, l’hôpital a publié des mises à jour dans son site Web et dans les médias sociaux pour informer le public de cette attaque et des progrès de l’enquête et des mesures correctives.
L’arbitre a établi que l’attaque par rançongiciel avait donné lieu à l’utilisation non autorisée et à la perte de renseignements personnels sur la santé au sens du paragraphe 12 (2) de la LPRPS. L’hôpital avait donc l’obligation de donner un avis en vertu de la LPRPS, ce qu’il a fait. Cependant, l’arbitre a conclu que l’avis de l’hôpital n’était pas conforme au paragraphe 12 (2) de la LPRPS, car il ne comportait pas d’énoncé précisant le droit de porter plainte au CIPVP. Cependant, compte tenu du fait que l’hôpital avait réagi adéquatement, de l’ensemble des circonstances et du temps écoulé, l’arbitre a estimé qu’il ne serait pas utile d’ordonner la remise d’un avis révisé et a donc conclu son examen sans rendre d’ordonnance.
Dans la Décision 254 en vertu de la LPRPS, le Bureau de santé publique de Kingston, Frontenac, Lennox et Addington a été la cible d’une attaque par rançongiciel en juin 2021. Le bureau de santé a confirmé que l’auteur de menace avait chiffré plus de 8 000 dossiers de patients dans ses serveurs. Bien que l’enquête ait permis de découvrir des outils associés à l’exfiltration de données dans certains serveurs qui contenaient des renseignements personnels sur la santé, rien ne permettait de croire que l’auteur de menace avait subtilisé des renseignements. Le bureau de santé a déclaré que « toutes les données importantes avaient pu être déchiffrées » après paiement d’une rançon. Après l’incident, le bureau de santé a publié des communiqués de presse informant le public de cette attaque et des progrès de ses mesures de rétablissement.
Comme dans la Décision 253 en vertu de la LPRPS, l’arbitre a conclu que l’attaque par rançongiciel avait donné lieu à l’utilisation non autorisée et à la perte de renseignements personnels sur la santé au sens du paragraphe 12 (2) de la LPRPS. Par conséquent, le bureau de santé avait l’obligation de donner un avis en vertu de la LPRPS. L’arbitre a établi que l’avis du bureau de santé n’était pas conforme au paragraphe 12 (2) de la LPRPS, car il aurait dû être plus détaillé et indiquer le droit de porter plainte au CIPVP. Cependant, compte tenu du fait que le bureau de santé avait réagi adéquatement, de l’ensemble des circonstances et du temps écoulé, l’arbitre a estimé qu’il ne serait pas utile d’ordonner la remise d’un avis supplémentaire et a donc conclu son examen sans rendre d’ordonnance.
Dans la Décision 255 en vertu de LPRPS, le Bureau de santé du district de Simcoe Muskoka a été la cible d’un hameçonnage par courriel en juillet 2022. L’auteur de menace a obtenu l’accès à un compte de courrier électronique du bureau de santé contenant environ 20 000 courriels, dont environ 1 000 courriels contenant des renseignements personnels sur la santé. L’enquête du bureau de santé a permis d’établir que l’auteur de menace n’avait ni envoyé ni réacheminé de courriels du compte en question. L’enquête de criminalistique a également permis de constater qu’il n’avait accédé que pendant une heure à ce seul compte de courrier électronique. Au cours de l’examen du CIPVP, le bureau de santé a envoyé des lettres détaillées aux particuliers dont les renseignements personnels sur la santé auraient pu avoir été touchés par cette attaque.
L’arbitre a conclu que selon la prépondérance des probabilités, l’accès de l’auteur de menace à un compte de courrier électronique du bureau de santé avait donné lieu à l’utilisation non autorisée et à la perte de renseignements personnels sur la santé. Par conséquent, l’obligation d’aviser les particuliers concernés en vertu du paragraphe 12 (2) de la LPRPS s’appliquait. Bien que le bureau de santé ait donné un avis direct aux particuliers pendant l’examen du CIPVP, l’arbitre a conclu qu’il aurait dû l’avoir fait à la première occasion raisonnable. Dans les circonstances, l’arbitre a conclu l’examen sans rendre d’ordonnance.
Principales constatations
Le chiffrement par un auteur de menace de renseignements personnels (ou de renseignements personnels sur la santé), qui rend les renseignements inaccessibles, peut constituer une perte ou encore une utilisation ou une divulgation non autorisée de ces renseignements. Cette règle s’applique même sans exfiltration ni consultation de fichiers, et elle donne lieu à l’obligation d’aviser les particuliers concernés.
Le chiffrement transforme les renseignements personnels (ou les renseignements personnels sur la santé) de sorte qu’ils sont inaccessibles à leurs utilisateurs autorisés. Rendre les documents inaccessibles au dépositaire de renseignements sur la santé ou au fournisseur de services en vue de les utiliser, de les divulguer ou de les manipuler à des fins non autorisées revient à les « employer » ou à les « traiter ». En d’autres mots, ces renseignements sont utilisés au sens de la LPRPS et de la LSEJF.
Les renseignements qui sont inaccessibles aux utilisateurs autorisés en raison d’une activité non autorisée sont également « perdus » au sens du paragraphe 12 (2) de la LPRPS et du paragraphe 308 (2) de la LSEJF. En chiffrant un serveur, l’auteur de menace empêche les utilisateurs autorisés d’accéder aux renseignements personnels (ou aux renseignements personnels sur la santé) dont ils ont besoin pour fournir des services. Il y a donc perte de renseignements, même si ce n’est que pendant une brève période.
Le fait que les renseignements ont été récupérés après avoir été inaccessibles en raison d’une attaque par rançongiciel ne soustrait pas à l’obligation d’aviser les particuliers concernés en vertu du paragraphe 12 (2) de la LPRPS et du paragraphe 308 (2) de la LSEJF.
Il est possible de respecter l’obligation d’aviser les particuliers concernés de diverses façons. Pour déterminer le type d’avis à donner, l’organisation doit tenir compte des circonstances pertinentes, dont les suivantes :
le nombre de particuliers qui pourraient avoir été touchés par la cyberattaque.
la question de savoir si la réponse à la cyberattaque a été adéquate.
le volume et le caractère délicat des renseignements concernés.
toute indication selon laquelle l’attaque continue de poser des risques pour la vie privée.
Il arrive que les cybercriminels chiffrent des renseignements personnels pour les rendre inaccessibles à l’institution et paralyser ses activités. Parfois, ils parviennent à accéder aux serveurs d’une institution et menacent de publier des renseignements personnels délicats en ligne. Lorsqu’elles sont la cible d’une cyberattaque, les institutions doivent agir rapidement pour colmater la brèche de cybersécurité, rétablir leurs activités et aviser les particuliers dont des renseignements personnels auraient pu avoir été touchés.
Notes
Cette décision fait actuellement l’objet d’une révision judiciaire et d’un appel.
Cette décision fait actuellement l’objet d’une révision judiciaire.
