Nous avons pour objectif de favoriser la confiance dans le système de soins de santé numérique en veillant à ce que les dépositaires respectent les droits de la population ontarienne en matière de protection de la vie privée et d’accès à l’information, et l’utilisation novatrice des renseignements personnels sur la santé à des fins de recherche et d’analytique dans la mesure où elle sert le bien public.
Exemples de notre travail visant à atteindre cet objectif :
*Les décisions sont disponibles en anglais. Une traduction en français est fournie sur demande.
Introduction
La recherche s’appuyant sur des renseignements sur la santé joue un rôle crucial pour améliorer les traitements médicaux et la qualité des soins. Pour mener des recherches en santé, les chercheurs doivent accéder à des renseignements personnels sur la santé, dont la collecte et l’utilisation sont réglementées en vertu des lois régissant la protection des renseignements personnels sur la santé. Cependant, ces renseignements sont de nature délicate, et en Ontario, les chercheurs en santé qui les utilisent doivent observer les exigences de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS). Ces exigences visent à protéger les renseignements sur la santé tout en permettant la tenue d’importantes recherches en santé.
Contexte
Établie par l’Université de Toronto en 2013, UTOPIAN est une base de données destinée à la recherche qui contient des dossiers dépersonnalisés de patients tirés de dossiers médicaux électroniques (DME) provenant de médecins de premier recours participants. Les renseignements personnels sur la santé téléversés dans UTOPIAN ont été recueillis auprès de dépositaires de renseignements sur la santé aux termes des dispositions de la LPRPS applicables à la recherche.
L’université a remis aux dépositaires une entente de fournisseur, qui consistait en une lettre de plusieurs pages décrivant le projet UTOPIAN, suivie d’un formulaire de consentement du dépositaire. L’entente prévoyait que seules des données dépersonnalisées extraites de la base de données seraient fournies aux chercheurs aux fins de la recherche sur les soins primaires en Ontario. Cependant, l’université n’a pas fourni aux dépositaires participants une copie du plan de recherche initial ou mis à jour après renouvellement et modification. L’université ne leur a pas remis non plus une copie de la décision de la commission d’éthique de la recherche (CER) approuvant le plan de recherche.
À l’origine, le plan de recherche d’UTOPIAN précisait qu’aucun identifiant de patient ne serait extrait. Cependant, cela a changé en 2020, lorsque l’université a élargi l’ampleur des renseignements sur la santé recueillis par UTOPIAN afin d’inclure des identifiants comme le nom, l’adresse, les numéros de téléphone, les adresses courriel et les numéros de carte Santé. UTOPIAN a également commencé à recueillir auprès des fournisseurs des renseignements personnels sur la santé tirés des DME ainsi que des images et d’autres visuels.
Pour informer les dépositaires de ce changement, l’université a envoyé un courriel de modification suivi d’un autre courriel deux semaines plus tard, demandant une « confirmation de lecture » dans les deux cas. Cependant, l’université n’a pas fourni de version mise à jour de l’entente devant être exécutée par les dépositaires qui en avait déjà exécuté une version antérieure.
L’université a également reconnu que lors de deux périodes où les approbations de la CER étaient échues, l’université a continué de recueillir des renseignements personnels sur la santé. Elle a remis aux dépositaires un avis d’atteinte à la vie privée pour l’une de ces périodes mais pas pour l’autre.
Plainte
En 2022, une plainte anonyme a été déposée par un groupe de médecins qui alléguaient que l’université avait obtenu des renseignements personnels sur la santé de la part de dépositaires de renseignements sur la santé sans le consentement des patients et sans avoir fourni assez de renseignements aux dépositaires. Les plaignants ont également fait part de leur préoccupation concernant la possibilité que la base de données téléverse des renseignements personnels sur la santé qui auraient pu avoir été « pris, transférés, utilisés, modifiés, stockés et vendus délibérément ». En outre, les plaignants ont soulevé des inquiétudes sur la question de savoir si le processus de dépersonnalisation était adéquat et sur la divulgation à d’autres parties de renseignements éventuellement identificatoires provenant de la base de données.
Conclusions
L’enquêteuse du CIPVP a conclu que les obligations prévues à l’article 44 de la LPRPS en matière de recherche n’avaient pas été respectées. Entre autres manquements, le CIPVP a constaté que l’université n’avait pas remis aux dépositaires un plan de recherche et la décision de la CER approuvant ce plan. Il a également constaté que l’université avait recueilli des renseignements personnels sur la santé alors que l’approbation de la CER était échue, et n’avait pas donné un avis de l’une de ces atteintes à la vie privée.
L’enquêteuse n’a pas accepté l’affirmation de l’université selon laquelle l’entente de fournisseur avait été modifiée par l’envoi de courriels précisant les changements faits en 2020. Elle a conclu que l’université aurait dû s’assurer que les dépositaires avaient communiqué clairement et sans équivoque leur acceptation de la modification proposée à l’entente, au lieu de s’appuyer sur leur silence.
En vertu de l’article 44, la LPRPS n’exige pas le consentement des patients, mais l’université ne s’est pas assurée que les dépositaires avaient fourni aux patients un avis approprié au sujet de la recherche, ce qui était une des modalités du plan de recherche approuvé par la CER.
Enfin, l’enquêteuse n’a pas trouvé de preuve étayant les allégations des plaignants concernant la vente de renseignements personnels sur la santé ou leurs préoccupations relatives à la dépersonnalisation.
Recommandations
L’enquêteuse a fait un certain nombre de recommandations et donné à l’université un délai de six mois pour rendre compte au CIPVP de leur mise en œuvre. Elle a notamment recommandé à l’université de s’assurer de conclure une entente de recherche en bonne et due forme avec chaque dépositaire et de s’assurer que toute modification importante soit incluse dans l’entente de recherche et explicitement acceptée.
L’enquêteuse a également recommandé à l’université de mener une étude sur la réidentification afin d’évaluer la rigueur de ces procédures de dépersonnalisation. Elle lui a recommandé de mettre à jour ses procédures de notification des patients concernant le projet UTOPIAN et de ne pas se fonder uniquement sur l’installation d’affiches dans les bureaux des médecins, particulièrement dans un contexte de soins virtuels. Enfin, l’enquêteuse a recommandé à l’université de faire preuve de plus de transparence auprès des dépositaires participants et de créer un climat de confiance en communiquant avec eux de façon plus soutenue.
Principales constatations
Cette décision a mis en relief plusieurs points importants concernant les obligations des chercheurs en vertu de la LPRPS :
Les chercheurs doivent s’assurer de fournir toute l’information requise en vertu de la LPRPS aux dépositaires pour que ceux-ci puissent prendre des décisions éclairées concernant leur participation au projet de recherche en santé, notamment une copie du plan de recherche et de la ou des approbations de la CER.
Lorsque des modifications importantes sont apportées à un plan de recherche en santé, les chercheurs devraient prendre les mesures nécessaires pour s’assurer que les dépositaires communiquent clairement et explicitement leur acceptation des modifications proposées. Par exemple, en l’occurrence, des copies de l’entente du fournisseur modifiée comprenant le formulaire de consentement mis à jour auraient pu être envoyées aux dépositaires en demandant qu’ils les exécutent, en incluant dans le courriel un hyperlien sur lequel les dépositaires auraient pu cliquer pour indiquer leur consentement ou en utilisant un autre moyen semblable.
Les chercheurs devraient revoir la façon dont ils avisent les patients de la tenue d’une recherche (au moyen d’affiches dans les bureaux des médecins) et réévaluer son efficacité, en particulier dans un contexte de soins de santé virtuels. Par exemple, un plan de recherche pourrait être modifié de manière à proposer un avis différent et plus efficace dans ce contexte.
Les chercheurs doivent faire preuve de transparence et maintenir une bonne communication avec les dépositaires concernant la collecte et l’utilisation de renseignements personnels sur la santé afin d’instaurer un climat de confiance envers la recherche.
Les chercheurs devraient réévaluer périodiquement la rigueur de leurs procédures de dépersonnalisation pour réduire les risques de réidentification qui évoluent en raison de changements apportés au plan ou à l’environnement de recherche, par exemple, en effectuant une évaluation de la réidentification conformément aux pratiques exemplaires énoncées dans les lignes directrices sur la dépersonnalisation des données structurées (De-identification Guidelines for Structured Data) du CIPVP et la norme ISO/IEC 27559:2022, comprenant une analyse d’un ensemble de données spécifique.
En définitive, les renseignements personnels sur la santé sont des renseignements de nature délicate qui nécessitent un degré élevé de protection. Bien que la recherche soit essentielle pour améliorer la qualité des soins et l’efficacité du système de santé, les dépositaires et le public doivent avoir la certitude que leurs renseignements personnels sur la santé sont protégés et que les chercheurs qui les recueillent et les utilisent respectent la loi.
*Les décisions sont disponibles en anglais. Une traduction en français est fournie sur demande.
Introduction
La recherche s’appuyant sur des renseignements sur la santé joue un rôle crucial pour améliorer les traitements médicaux et la qualité des soins. Pour mener des recherches en santé, les chercheurs doivent accéder à des renseignements personnels sur la santé, dont la collecte et l’utilisation sont réglementées en vertu des lois régissant la protection des renseignements personnels sur la santé. Cependant, ces renseignements sont de nature délicate, et en Ontario, les chercheurs en santé qui les utilisent doivent observer les exigences de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS). Ces exigences visent à protéger les renseignements sur la santé tout en permettant la tenue d’importantes recherches en santé.
Contexte
Établie par l’Université de Toronto en 2013, UTOPIAN est une base de données destinée à la recherche qui contient des dossiers dépersonnalisés de patients tirés de dossiers médicaux électroniques (DME) provenant de médecins de premier recours participants. Les renseignements personnels sur la santé téléversés dans UTOPIAN ont été recueillis auprès de dépositaires de renseignements sur la santé aux termes des dispositions de la LPRPS applicables à la recherche.
L’université a remis aux dépositaires une entente de fournisseur, qui consistait en une lettre de plusieurs pages décrivant le projet UTOPIAN, suivie d’un formulaire de consentement du dépositaire. L’entente prévoyait que seules des données dépersonnalisées extraites de la base de données seraient fournies aux chercheurs aux fins de la recherche sur les soins primaires en Ontario. Cependant, l’université n’a pas fourni aux dépositaires participants une copie du plan de recherche initial ou mis à jour après renouvellement et modification. L’université ne leur a pas remis non plus une copie de la décision de la commission d’éthique de la recherche (CER) approuvant le plan de recherche.
À l’origine, le plan de recherche d’UTOPIAN précisait qu’aucun identifiant de patient ne serait extrait. Cependant, cela a changé en 2020, lorsque l’université a élargi l’ampleur des renseignements sur la santé recueillis par UTOPIAN afin d’inclure des identifiants comme le nom, l’adresse, les numéros de téléphone, les adresses courriel et les numéros de carte Santé. UTOPIAN a également commencé à recueillir auprès des fournisseurs des renseignements personnels sur la santé tirés des DME ainsi que des images et d’autres visuels.
Pour informer les dépositaires de ce changement, l’université a envoyé un courriel de modification suivi d’un autre courriel deux semaines plus tard, demandant une « confirmation de lecture » dans les deux cas. Cependant, l’université n’a pas fourni de version mise à jour de l’entente devant être exécutée par les dépositaires qui en avait déjà exécuté une version antérieure.
L’université a également reconnu que lors de deux périodes où les approbations de la CER étaient échues, l’université a continué de recueillir des renseignements personnels sur la santé. Elle a remis aux dépositaires un avis d’atteinte à la vie privée pour l’une de ces périodes mais pas pour l’autre.
Plainte
En 2022, une plainte anonyme a été déposée par un groupe de médecins qui alléguaient que l’université avait obtenu des renseignements personnels sur la santé de la part de dépositaires de renseignements sur la santé sans le consentement des patients et sans avoir fourni assez de renseignements aux dépositaires. Les plaignants ont également fait part de leur préoccupation concernant la possibilité que la base de données téléverse des renseignements personnels sur la santé qui auraient pu avoir été « pris, transférés, utilisés, modifiés, stockés et vendus délibérément ». En outre, les plaignants ont soulevé des inquiétudes sur la question de savoir si le processus de dépersonnalisation était adéquat et sur la divulgation à d’autres parties de renseignements éventuellement identificatoires provenant de la base de données.
Conclusions
L’enquêteuse du CIPVP a conclu que les obligations prévues à l’article 44 de la LPRPS en matière de recherche n’avaient pas été respectées. Entre autres manquements, le CIPVP a constaté que l’université n’avait pas remis aux dépositaires un plan de recherche et la décision de la CER approuvant ce plan. Il a également constaté que l’université avait recueilli des renseignements personnels sur la santé alors que l’approbation de la CER était échue, et n’avait pas donné un avis de l’une de ces atteintes à la vie privée.
L’enquêteuse n’a pas accepté l’affirmation de l’université selon laquelle l’entente de fournisseur avait été modifiée par l’envoi de courriels précisant les changements faits en 2020. Elle a conclu que l’université aurait dû s’assurer que les dépositaires avaient communiqué clairement et sans équivoque leur acceptation de la modification proposée à l’entente, au lieu de s’appuyer sur leur silence.
En vertu de l’article 44, la LPRPS n’exige pas le consentement des patients, mais l’université ne s’est pas assurée que les dépositaires avaient fourni aux patients un avis approprié au sujet de la recherche, ce qui était une des modalités du plan de recherche approuvé par la CER.
Enfin, l’enquêteuse n’a pas trouvé de preuve étayant les allégations des plaignants concernant la vente de renseignements personnels sur la santé ou leurs préoccupations relatives à la dépersonnalisation.
Recommandations
L’enquêteuse a fait un certain nombre de recommandations et donné à l’université un délai de six mois pour rendre compte au CIPVP de leur mise en œuvre. Elle a notamment recommandé à l’université de s’assurer de conclure une entente de recherche en bonne et due forme avec chaque dépositaire et de s’assurer que toute modification importante soit incluse dans l’entente de recherche et explicitement acceptée.
L’enquêteuse a également recommandé à l’université de mener une étude sur la réidentification afin d’évaluer la rigueur de ces procédures de dépersonnalisation. Elle lui a recommandé de mettre à jour ses procédures de notification des patients concernant le projet UTOPIAN et de ne pas se fonder uniquement sur l’installation d’affiches dans les bureaux des médecins, particulièrement dans un contexte de soins virtuels. Enfin, l’enquêteuse a recommandé à l’université de faire preuve de plus de transparence auprès des dépositaires participants et de créer un climat de confiance en communiquant avec eux de façon plus soutenue.
Principales constatations
Cette décision a mis en relief plusieurs points importants concernant les obligations des chercheurs en vertu de la LPRPS :
Les chercheurs doivent s’assurer de fournir toute l’information requise en vertu de la LPRPS aux dépositaires pour que ceux-ci puissent prendre des décisions éclairées concernant leur participation au projet de recherche en santé, notamment une copie du plan de recherche et de la ou des approbations de la CER.
Lorsque des modifications importantes sont apportées à un plan de recherche en santé, les chercheurs devraient prendre les mesures nécessaires pour s’assurer que les dépositaires communiquent clairement et explicitement leur acceptation des modifications proposées. Par exemple, en l’occurrence, des copies de l’entente du fournisseur modifiée comprenant le formulaire de consentement mis à jour auraient pu être envoyées aux dépositaires en demandant qu’ils les exécutent, en incluant dans le courriel un hyperlien sur lequel les dépositaires auraient pu cliquer pour indiquer leur consentement ou en utilisant un autre moyen semblable.
Les chercheurs devraient revoir la façon dont ils avisent les patients de la tenue d’une recherche (au moyen d’affiches dans les bureaux des médecins) et réévaluer son efficacité, en particulier dans un contexte de soins de santé virtuels. Par exemple, un plan de recherche pourrait être modifié de manière à proposer un avis différent et plus efficace dans ce contexte.
Les chercheurs doivent faire preuve de transparence et maintenir une bonne communication avec les dépositaires concernant la collecte et l’utilisation de renseignements personnels sur la santé afin d’instaurer un climat de confiance envers la recherche.
Les chercheurs devraient réévaluer périodiquement la rigueur de leurs procédures de dépersonnalisation pour réduire les risques de réidentification qui évoluent en raison de changements apportés au plan ou à l’environnement de recherche, par exemple, en effectuant une évaluation de la réidentification conformément aux pratiques exemplaires énoncées dans les lignes directrices sur la dépersonnalisation des données structurées (De-identification Guidelines for Structured Data) du CIPVP et la norme ISO/IEC 27559:2022, comprenant une analyse d’un ensemble de données spécifique.
En définitive, les renseignements personnels sur la santé sont des renseignements de nature délicate qui nécessitent un degré élevé de protection. Bien que la recherche soit essentielle pour améliorer la qualité des soins et l’efficacité du système de santé, les dépositaires et le public doivent avoir la certitude que leurs renseignements personnels sur la santé sont protégés et que les chercheurs qui les recueillent et les utilisent respectent la loi.
*Les décisions sont disponibles en anglais. Une traduction en français est fournie sur demande.
Introduction
Malheureusement, les attaques par rançongiciel ne sont pas rares, surtout à notre époque où les technologies progressent rapidement. Des individus malveillants s’y livrent pour soutirer de l’argent et causer du tort à d’autres personnes. Comme ces types d’attaques se multiplient, les dépositaires de renseignements sur la santé devraient mettre en place de solides mesures préventives pour minimiser et prévenir les risques des attaques liées à la cybersécurité.
Contexte
Après avoir décelé une activité inhabituelle dans ses systèmes en décembre 2022, une clinique d’imagerie médicale (la « clinique ») a établi qu’elle avait été victime d’une attaque par rançongiciel. Les responsables ont réagi en fermant immédiatement les serveurs et en faisant appel à un conseiller juridique et à une équipe d’experts en cybersécurité pour les aider à maîtriser la situation, à faire enquête et à prendre les mesures correctives qui s’imposaient.
Une semaine après l’incident, la clinique a informé le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) qu’elle avait été victime d’une attaque par rançongiciel. Elle a précisé que jusqu’à 550 000 dossiers de patients et 1 600 000 dossiers de cas avaient peut-être été touchés par l’attaque.
Les experts de la clinique ont déterminé que l’auteur de cette attaque (un groupe de pirates connu) avait probablement pénétré dans le système par l’intermédiaire d’un compte inactif, qui disposait d’importants privilèges d’administration. Le pirate a chiffré et exfiltré des fichiers des dossiers médicaux électroniques et des serveurs de partage de fichiers, supprimé les copies de sauvegarde et exigé le paiement d’une rançon. En l’occurrence, la clinique n’a pas été en mesure de rétablir ses systèmes à l’aide de copies de sauvegarde et a dû fermer temporairement ses portes.
La clinique a payé la rançon, après quoi elle a pu déchiffrer les données sur les serveurs touchés et récupérer tous les fichiers concernés. La clinique a informé le public de l’atteinte à la vie privée en ligne et au sein de ses établissements.
La clinique a expliqué au CIPVP qu’elle avait mis en place des mesures de sécurité avant l’incident. Cependant, le niveau élevé d’activité pendant l’attaque a entraîné l’écrasement des journaux avant qu’ils ne puissent être examinés. La clinique n’a donc pas pu déterminer exactement comment cette intrusion était survenue ni quelles tactiques avaient été utilisées pour obtenir l’accès aux identifiants du compte.
Depuis cet incident, la clinique a pris des mesures correctives pour renforcer sa sécurité en instaurant plusieurs politiques et pratiques visant à empêcher que des situations semblables ne se reproduisent. Par exemple, la clinique a modifié sa politique de restriction des privilèges d’accès afin de limiter l’accès au domaine à deux membres du personnel administratif et de réduire l’accès des utilisateurs au minimum nécessaire pour l’exercice de leurs fonctions. La clinique a établi des exigences quant à la force et à la complexité des mots de passe, surveille et supprime les comptes inactifs et effectue des vérifications régulières pour s’assurer que tous les correctifs de sécurité ont été installés.
La clinique a également séparé ses réseaux et mis en place des pare-feu si nécessaire. En ce qui concerne les copies de sauvegarde, la clinique conserve désormais au moins une copie fiable hors ligne qui ne serait pas touchée en cas de nouvelle cyberattaque, afin que la clinique puisse reprendre ses activités. La clinique a amélioré ses mesures de détection et d’intervention. Elle télécharge désormais quotidiennement les journaux de son réseau privé virtuel et de son pare-feu et les conserve afin de pouvoir mieux enquêter sur de futurs cyberincidents grâce à ces journaux.
Conclusions
L’enquêteuse du CIPVP a établi que la clinique avait déployé des efforts suffisants pour déterminer l’ampleur de l’atteinte à la vie privée et donner un avis approprié. Elle a conclu que la clinique avait réagi de manière adéquate à cet incident, compte tenu notamment des mesures correctives qu’elle avait prises pour remédier à la situation. L’enquêteuse a également établi que la clinique avait donné un avis et mis en place des mesures correctives efficaces, et qu’il n’y avait donc pas lieu de procéder à un examen.
Principaux constats
Cette affaire souligne pour les dépositaires de renseignements sur la santé l’importance de mettre en place des mesures de sécurité rigoureuses pour prévenir les cyberattaques, notamment :
accorder un accès administratif privilégié à un nombre très limité d’utilisateurs
réduire l’accès des utilisateurs au système au minimum nécessaire pour leurs fonctions et veiller à ce que cet accès soit supprimé lorsqu’un utilisateur quitte l’institution ou change de poste
surveiller et supprimer les comptes inactifs
exiger des mots de passe forts
assurer une protection contre le virus et filtrer les pourriels
munir le réseau de pare-feu et d’une connexion externe à un réseau privé virtuel
instaurer l’authentification multifacteur
vérifier régulièrement que les derniers correctifs de sécurité ont été installés
fournir régulièrement au personnel une formation sur la cybersécurité
tenir des journaux d’accès dotés d’une capacité suffisante, qui peuvent permettre de déceler rapidement les accès non autorisés aux systèmes et contribuer à déterminer la cause des incidents, le moment où ils se sont produits et comment ils ont été perpétrés
effectuer des copies de sauvegarde fiables, dont au moins une est conservée hors ligne pour qu’elle demeure intacte en cas de cyberattaque, afin que le dépositaire de renseignements sur la santé soit en mesure de reprendre plus rapidement ses activités
Ce ne sont là que quelques mesures que les dépositaires de renseignements sur la santé peuvent prendre pour prévenir les cyberattaques et en atténuer les conséquences. Pour en savoir davantage sur les mesures préventives que peuvent prendre les dépositaires de renseignements sur la santé, consultez la feuille-info Se protéger contre les rançongiciels du CIPVP.
Lorsqu’une atteinte à la vie privée se produit, il est essentiel que le dépositaire de renseignements sur la santé prenne des mesures immédiates pour la maîtriser, notamment en mettant ses serveurs hors fonction et en faisant appel à un conseiller juridique et à une équipe d’experts en cybersécurité. Les dépositaires de renseignements sur la santé devraient également consulter le document d’orientationLignes directrices sur les interventions en cas d’atteinte à la vie privée dans le secteur de la santé du CIPVP pour ce qui concerne les mesures appropriées à prendre après une atteinte à la vie privée.
Prévenir une attaque par rançongiciel n’est pas une tâche facile. Cela demande du temps et des ressources. Toutefois, si des mesures de sécurité appropriées et solides sont mises en place au préalable, il est moins probable qu’un pirate parvienne à ses fins. Il est moins coûteux de prendre des mesures préventives que de payer une rançon ou de reconstituer un système compromis.
Lettre au ministère de la Santé concernant les changements proposés au règlement pris en application de la LPRPS exigeant que des renseignements personnels sur la santé soient versés au dossier de santé électronique. Cette lettre réitère la nécessité d’assurer la protection des renseignements personnels sur la santé dans les systèmes utilisés pour prodiguer des soins de santé.
*Les décisions sont disponibles en anglais. Une traduction en français est fournie sur demande.
Introduction
Malheureusement, les attaques par rançongiciel ne sont pas rares, surtout à notre époque où les technologies progressent rapidement. Des individus malveillants s’y livrent pour soutirer de l’argent et causer du tort à d’autres personnes. Comme ces types d’attaques se multiplient, les dépositaires de renseignements sur la santé devraient mettre en place de solides mesures préventives pour minimiser et prévenir les risques des attaques liées à la cybersécurité.
Contexte
Après avoir décelé une activité inhabituelle dans ses systèmes en décembre 2022, une clinique d’imagerie médicale (la « clinique ») a établi qu’elle avait été victime d’une attaque par rançongiciel. Les responsables ont réagi en fermant immédiatement les serveurs et en faisant appel à un conseiller juridique et à une équipe d’experts en cybersécurité pour les aider à maîtriser la situation, à faire enquête et à prendre les mesures correctives qui s’imposaient.
Une semaine après l’incident, la clinique a informé le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) qu’elle avait été victime d’une attaque par rançongiciel. Elle a précisé que jusqu’à 550 000 dossiers de patients et 1 600 000 dossiers de cas avaient peut-être été touchés par l’attaque.
Les experts de la clinique ont déterminé que l’auteur de cette attaque (un groupe de pirates connu) avait probablement pénétré dans le système par l’intermédiaire d’un compte inactif, qui disposait d’importants privilèges d’administration. Le pirate a chiffré et exfiltré des fichiers des dossiers médicaux électroniques et des serveurs de partage de fichiers, supprimé les copies de sauvegarde et exigé le paiement d’une rançon. En l’occurrence, la clinique n’a pas été en mesure de rétablir ses systèmes à l’aide de copies de sauvegarde et a dû fermer temporairement ses portes.
La clinique a payé la rançon, après quoi elle a pu déchiffrer les données sur les serveurs touchés et récupérer tous les fichiers concernés. La clinique a informé le public de l’atteinte à la vie privée en ligne et au sein de ses établissements.
La clinique a expliqué au CIPVP qu’elle avait mis en place des mesures de sécurité avant l’incident. Cependant, le niveau élevé d’activité pendant l’attaque a entraîné l’écrasement des journaux avant qu’ils ne puissent être examinés. La clinique n’a donc pas pu déterminer exactement comment cette intrusion était survenue ni quelles tactiques avaient été utilisées pour obtenir l’accès aux identifiants du compte.
Depuis cet incident, la clinique a pris des mesures correctives pour renforcer sa sécurité en instaurant plusieurs politiques et pratiques visant à empêcher que des situations semblables ne se reproduisent. Par exemple, la clinique a modifié sa politique de restriction des privilèges d’accès afin de limiter l’accès au domaine à deux membres du personnel administratif et de réduire l’accès des utilisateurs au minimum nécessaire pour l’exercice de leurs fonctions. La clinique a établi des exigences quant à la force et à la complexité des mots de passe, surveille et supprime les comptes inactifs et effectue des vérifications régulières pour s’assurer que tous les correctifs de sécurité ont été installés.
La clinique a également séparé ses réseaux et mis en place des pare-feu si nécessaire. En ce qui concerne les copies de sauvegarde, la clinique conserve désormais au moins une copie fiable hors ligne qui ne serait pas touchée en cas de nouvelle cyberattaque, afin que la clinique puisse reprendre ses activités. La clinique a amélioré ses mesures de détection et d’intervention. Elle télécharge désormais quotidiennement les journaux de son réseau privé virtuel et de son pare-feu et les conserve afin de pouvoir mieux enquêter sur de futurs cyberincidents grâce à ces journaux.
Conclusions
L’enquêteuse du CIPVP a établi que la clinique avait déployé des efforts suffisants pour déterminer l’ampleur de l’atteinte à la vie privée et donner un avis approprié. Elle a conclu que la clinique avait réagi de manière adéquate à cet incident, compte tenu notamment des mesures correctives qu’elle avait prises pour remédier à la situation. L’enquêteuse a également établi que la clinique avait donné un avis et mis en place des mesures correctives efficaces, et qu’il n’y avait donc pas lieu de procéder à un examen.
Principaux constats
Cette affaire souligne pour les dépositaires de renseignements sur la santé l’importance de mettre en place des mesures de sécurité rigoureuses pour prévenir les cyberattaques, notamment :
accorder un accès administratif privilégié à un nombre très limité d’utilisateurs
réduire l’accès des utilisateurs au système au minimum nécessaire pour leurs fonctions et veiller à ce que cet accès soit supprimé lorsqu’un utilisateur quitte l’institution ou change de poste
surveiller et supprimer les comptes inactifs
exiger des mots de passe forts
assurer une protection contre le virus et filtrer les pourriels
munir le réseau de pare-feu et d’une connexion externe à un réseau privé virtuel
instaurer l’authentification multifacteur
vérifier régulièrement que les derniers correctifs de sécurité ont été installés
fournir régulièrement au personnel une formation sur la cybersécurité
tenir des journaux d’accès dotés d’une capacité suffisante, qui peuvent permettre de déceler rapidement les accès non autorisés aux systèmes et contribuer à déterminer la cause des incidents, le moment où ils se sont produits et comment ils ont été perpétrés
effectuer des copies de sauvegarde fiables, dont au moins une est conservée hors ligne pour qu’elle demeure intacte en cas de cyberattaque, afin que le dépositaire de renseignements sur la santé soit en mesure de reprendre plus rapidement ses activités
Ce ne sont là que quelques mesures que les dépositaires de renseignements sur la santé peuvent prendre pour prévenir les cyberattaques et en atténuer les conséquences. Pour en savoir davantage sur les mesures préventives que peuvent prendre les dépositaires de renseignements sur la santé, consultez la feuille-info Se protéger contre les rançongiciels du CIPVP.
Lorsqu’une atteinte à la vie privée se produit, il est essentiel que le dépositaire de renseignements sur la santé prenne des mesures immédiates pour la maîtriser, notamment en mettant ses serveurs hors fonction et en faisant appel à un conseiller juridique et à une équipe d’experts en cybersécurité. Les dépositaires de renseignements sur la santé devraient également consulter le document d’orientationLignes directrices sur les interventions en cas d’atteinte à la vie privée dans le secteur de la santé du CIPVP pour ce qui concerne les mesures appropriées à prendre après une atteinte à la vie privée.
Prévenir une attaque par rançongiciel n’est pas une tâche facile. Cela demande du temps et des ressources. Toutefois, si des mesures de sécurité appropriées et solides sont mises en place au préalable, il est moins probable qu’un pirate parvienne à ses fins. Il est moins coûteux de prendre des mesures préventives que de payer une rançon ou de reconstituer un système compromis.
Le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) tient à protéger les renseignements sur la santé selon une approche flexible et équilibrée consistant à sanctionner les atteintes à la vie privée tout en favorisant la reddition de comptes, l’information et l’amélioration continue.
Ces pénalités peuvent atteindre au plus 50 000 $ pour les particuliers et 500 000 $ pour les organisations. Elles peuvent être imposées pour favoriser la conformité à la LPRPS ou pour éviter qu’une personne ne tire un bénéfice pécuniaire direct ou indirect d’une contravention à la loi.
Lisez notre document d’orientation pour en savoir davantage sur ces critères et sur la façon dont le CIPVP établira le montant des PAP.
Si vous avez d’autres questions sur les PAP, écrivez-nous à @email.
À compter du 1er janvier 2024, le CIPVP a le pouvoir discrétionnaire d'imposer des pénalités administratives pécuniaires dans le cadre de ses pouvoirs d'exécution en cas de violation de la Loi sur la protection des renseignements personnels sur la santé (LPRPS). Téléchargez le document d'orientation pour en savoir plus :
Dans cette lettre adressée à Brian Riddell, président du Comité permanent de la politique sociale, le CIPVP formule des observations concernant les modifications proposées à la Loi de 2019 pour des soins interconnectés
Lettre au ministère de la Santé souscrivant aux pénalités administratives proposées en vertu de la LPRPS, décrivant l’approche envisagée à leur égard et soulignant leur importance pour promouvoir les droits en matière de protection de la vie privée et d’accès à l’information dans le domaine de la santé.
Mise à jour d’un document : Une modification à la Directive de pratique no 3 concernant la LPRPS est entré en vigueur le 10 octobre 2023. Pour en savoir plus.
À compter du 10 octobre 2023, le CIPVP pourrait publier les décisions rendues en vertu de la LPRPS à n’importe quel stade du processus de règlement des différends, qu’il s’agisse du règlement anticipé, de l’enquête ou de l’arbitrage. Le nom de l’intimé ou de la ou des personnes concernées sera publié, à moins que cela ne révèle l’identité d’un plaignant ou d’une personne dont les renseignements personnels sur la santé sont en cause.
