Affaires marquantes

Comptes rendus d’affaires et de décisions marquantes du CIPVP

Affaires vedettes

Médecin tenant un iPad et regardant des données médicales.

Décision 249 en vertu de la LPRPS

Les attaques par rançongiciel ne sont pas rares, surtout à notre époque où les technologies progressent rapidement. Comme ces types d’attaques se multiplient, les dépositaires de renseignements sur la santé devraient mettre en place de solides mesures préventives pour minimiser et prévenir les risques des attaques liées à la cybersécurité.

Main tendue vers une illustration numérique d'un bouclier.

Décision 243 en vertu de la LPRPS

La recherche s’appuyant sur des renseignements sur la santé joue un rôle crucial pour améliorer les traitements médicaux et la qualité des soins. Cependant, ces renseignements sont de nature délicate, et en Ontario, les chercheurs en santé qui les utilisent doivent observer les exigences de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS).

Pirate utilisant un ordinateur portable.

Réponse à une cyberattaque : l’obligation d’aviser les particuliers en vertu de la LPRPS et de la LSEJF

Les institutions du secteur public courent un risque croissant de cyberattaque. Lorsqu’elles en sont victimes, elles doivent agir vite pour maîtriser l’atteinte à la vie privée et aviser les particuliers dont des renseignements personnels auraient pu avoir été touchés. Ces affaires soulignent l’obligation des organisations d’aviser les particuliers concernés en cas de cyberattaque aux termes de la Loi de 2004 sur la protection des renseignements personnels sur la santé et de la partie X de la Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille. .

Recent cases of note

PI21-00001

Le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (le CIPVP) a reçu, aux termes de la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP ou la Loi), une plainte concernant le fait que l’Université McMaster (McMaster ou l’université) avait utilisé le logiciel de surveillance d’examens Respondus.

Décision 210 en vertu de la LPRPS

Un hôpital public a fait savoir au Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (le CIPVP) qu’il y avait eu atteinte à la vie privée en contravention de la Loi de 2004 sur la protection des renseignements personnels sur la santé (la Loi) à la suite d’une cyberattaque commise contre l’hôpital. Après que l’hôpital a signalé cette atteinte à la vie privée, le CIPVP a ouvert un dossier et a reçu par la suite quatre plaintes de la part de personnes concernées.

Cyberattaque d'une entité prescrite : Le rapport du CIPVP met en évidence la réponse à une atteinte à la vie privée et détaille le processus de notification indirecte utilisée pour atteindre les personnes affectées

Une personne prescrite en vertu de la Loi sur la protection des renseignements personnels sur la santé a signalé une atteinte à la protection des renseignements personnels au CIPVP concernant une cyberattaque qui a entraîné la copie non autorisée de renseignements personnels sur la santé d’environ 3,4 millions de personnes, lesquels se trouvaient dans le serveur de transfert sécurisé de fichiers de la personne prescrite. Les auteurs de menace ont obtenu un accès non autorisé au serveur en exploitant une vulnérabilité de jour zéro dans le logiciel de transfert de fichiers, MOVEit, qui était installé dans ce serveur.