Un hôpital public a informé le Bureau du commissaire à l’information et à la protection de la vie privée (le « CIPVP ») d’une atteinte à la vie privée en contravention de la Loi de 2004 sur la protection des renseignements personnels sur la santé (la « Loi ») à la suite d’une cyberattaque. Le CIPVP a ouvert un dossier sur cette atteinte à la vie privée, et a reçu par la suite quatre plaintes de la part de personnes concernées. Au cours de la cyberattaque, l’auteur de menace a accédé à de nombreux systèmes de l’hôpital, se livrant à une attaque par rafale de mots de passe, ce qui a compromis un compte privilégié. L’hôpital a aussitôt désactivé les comptes touchés et rectifié le problème de pare-feu que l’auteur de menace avait exploité. Il a constaté que ce dernier avait exfiltré de grandes quantités de renseignements, sans pouvoir déterminer exactement de quelles données il s’agissait. L’hôpital a établi les types de renseignements personnels sur la santé qui avaient peut-être été exfiltrés, et estimé le nombre de patients touchés. Il a donné un avis public de l’atteinte à la vie privée et convenu de poursuivre sa surveillance du Web caché pendant deux ans pour déceler toute activité liée à cet incident.
L’hôpital a fourni au CIPVP ses nombreuses lignes directrices en place pour assurer la sécurité de l’information, lesquelles ont toutes été révisées après la cyberattaque. Ces lignes directrices portaient notamment sur la force des mots de passe, les limites imposées aux privilèges attribués à certains comptes et le pare-feu. L’hôpital a également fourni au CIPVP un protocole en cas d’atteinte à la vie privée attribuable aux incidents de cybersécurité mis en place après l’incident. Compte tenu des mesures que l’hôpital a prises pour rectifier la situation et des lignes directrices en vigueur, j’ai conclu qu’il n’est pas nécessaire de procéder à un examen de cette affaire en vertu de la partie VI de la Loi.