Blogue de la commissaire

Plongez dans les billets de blogues perspicaces de la commissaire Kosseim sur la confidentialité, l’accès, la cybersécurité et au-delà. Restez informé et explorez les dernières informations.

Adieu courriels qui dérapent : prenons la résolution de faire mieux en 2022

Combien d’entre nous cliquent sur « send » ou « envoyer » et envoient accidentellement un courriel à la mauvaise personne? Cela m’est arrivé il y a plusieurs années. Mon vol avait été annulé et, tard le soir, dans un taxi très mal éclairé, j’avais envoyé à mon mari un courriel pour lui faire savoir que je venais de quitter l’aéroport et que j’étais en route pour la maison. J’avais signé « Love you » et inscrit plein de « x » et de « o » comme je le fais généralement, mais j’ai constaté que j’avais envoyé mon courriel au mauvais Ken! Il va sans dire que j’étais embarrassée, et le vice-président d’une grande entreprise ne me regardait plus tout à fait de la même façon après.

 

Avez-vous déjà envoyé un courriel groupé avec l’adresse des destinataires visible dans la case « To » ou « À »? Ça m’est arrivé pas plus tard que l’an dernier lorsque j’ai envoyé notre premier bulletin familial du temps des Fêtes. J’avais oublié d’utiliser l’option « BCC » (blind carbon copy) ou Cci (copie conforme invisible). Heureusement, les destinataires étaient tous des membres de la famille et des amis proches, et personne n’a semblé s’en offusquer, mais je vous assure que je n’ai pas commis la même erreur cette année.

Fort heureusement, aucun de ces incidents n’a causé de dommages, mais dans d’autres circonstances, ce genre d’erreur toute simple pourrait avoir des effets dévastateurs, en particulier lorsque les renseignements personnels sensibles d’autres personnes sont en cause.

Les courriels envoyés aux mauvais destinataires sont une source fréquente d’atteintes à la vie privée causées par une divulgation non autorisée de renseignements personnels. Dans le secteur de la santé, le nombre de cas d’atteinte à la vie privée découlant de ce genre d’incident est passé d’un peu plus de 430 en 2018 à plus de 960 en 2020. En 2020, première année où la déclaration des cas d’atteinte à la vie privée est devenue obligatoire pour le secteur des services à l’enfance et à la famille, près de 50 % des cas d’atteinte à la vie privée étaient attribuables à l’envoi de courriels à de mauvais destinataires.

Mon bureau reçoit régulièrement des appels des médias et du public concernant des cas de divulgation non autorisée de renseignements personnels attribuable à des courriels envoyés à de mauvais destinataires, et certains de ces cas ont fait la manchette. Quelques incidents ont fait intervenir des courriels de groupe dont les adresses des destinataires étaient inscrites dans le champ CC/Cc plutôt que dans le champ BCC/Cci, dévoilant non seulement le nom et l’adresse de courriel de tous les destinataires, mais aussi leur état de santé ou d’autres attributs personnels que l’objet du courriel permettrait de déduire, par exemple, récemment, le statut vaccinal de certains employés qui reçoivent des courriels groupés leur rappelant l’importance de se faire vacciner ou de passer régulièrement un test antigénique à défaut de preuve de vaccination. D’autres incidents impliquaient des documents non chiffrés contenant les renseignements personnels de particuliers qui avaient été joints aux courriels et envoyés aux destinataires d’une liste d’envoi.

L’erreur est humaine dit-on, et l’envoi d’un courriel auquel est joint le mauvais document ou l’envoi de courriels à de mauvais destinataires n’ont rien de nouveau pour la plupart d’entre nous. Cependant, la manipulation inadéquate des courriels peut causer l’humiliation ou l’embarras des personnes dont les renseignements personnels sont en cause et les exposer à des risques importants comme le vol d’identité, les cyberattaques, la discrimination, voire la stigmatisation sociale. Les conséquences pour les employés qui commettent cette erreur peuvent aussi être très graves et comprendre le licenciement et des mesures disciplinaires de leur association professionnelle. Les organismes peuvent se voir imposer des amendes, faire l’objet de poursuites civiles et voir leur réputation entachée, le public ayant perdu confiance en leur capacité de protéger les renseignements personnels.

Ce genre d’atteinte à la vie privée devrait rappeler aux organismes l’importance d’établir des politiques explicites et des mécanismes administratifs de protection visant le traitement des renseignements personnels. Il faut assurer la formation des employés et leur rappeler d’être bien conscients des risques possibles d’atteinte à la vie privée et de respecter les politiques et de suivre les procédures afin d’éviter ces atteintes. Tout comme le personnel navigant des lignes aériennes est formé pour protéger les passagers en inspectant systématiquement, et deux fois plutôt qu’une, les mesures de sécurité de base, comme les ceintures de sécurité, les sorties de secours et l’équipement avant le décollage et l’atterrissage, les employés doivent veiller à bien formater les renseignements personnels avant d’envoyer un courriel.

Pour ce qui est de l’envoi de courriels, des mesures relativement simples peuvent être prises pour éviter les atteintes à la vie privée. Premièrement, vérifiez et revérifiez l’adresse des destinataires. Prenez l’habitude de revoir les noms avant de cliquer sur « send » ou « envoyer » et assurez-vous qu’ils sont dans le bon champ, soit BCC/Cci plutôt que CC/Cc s’il y a plus d’un destinataire. Si vous envoyez des documents ou des tableurs qui contiennent des renseignements personnels, il faut les protéger au moyen d’un chiffrement fort. Ce faisant, même s’ils sont accidentellement joints à un courriel ou envoyés à un mauvais destinataire, les personnes non autorisées ne pourront pas les lire.

La feuille-info du CIPVP La communication de renseignements personnels sur la santé par courriel présente quelques mesures importantes pour protéger les renseignements personnels, lesquelles peuvent être appliquées chaque fois que des renseignements sont envoyés par courriel.

En gardant à l’esprit les risques relatifs à la protection de la vie privée et en instaurant les mesures de protection techniques et administratives appropriées, vous pourrez contribuer à empêcher votre organisme de faire la manchette. L’erreur est humaine, certes, mais il est humain aussi d’en tirer des leçons.

Patricia

Contact média

Pour une réponse rapide, veuillez nous envoyer un e-mail ou nous téléphoner avec les détails de votre demande tels que le média, le sujet et la date limite :

E-mail: @email
Téléphone: 416-326-3965

Contactez-nous

Médias Sociaux

Le CIPVP maintient des chaînes sur Twitter, YouTube et Linkedin afin de communiquer avec les Ontariens et les autres personnes intéressées par la vie privée, l'accès et les questions connexes.

Notre politique relative aux médias sociaux

Aidez-nous à améliorer notre site web. Cette page a-t-elle été utile?
Lorsque l'information n'est pas trouvée

Note:

  • Vous ne recevrez pas de réponse directe. Pour toute autre question, veuillez nous contacter à l'adresse suivante : @email
  • N'indiquez aucune information personnelle, telle que votre nom, votre numéro d'assurance sociale (NAS), votre adresse personnelle ou professionnelle, tout numéro de dossier ou d'affaire ou toute information personnelle relative à votre santé.
  • Pour plus d'informations sur cet outil, veuillez consulter notre politique de confidentialité.