Du litige au consensus : le pouvoir du règlement anticipé
Cyberattaque contre le fournisseur de services Aetonix se répercutant sur 32 dépositaires de renseignements sur la santé
Un grave incident est survenu lorsqu’une cyberattaque contre Aetonix, un fournisseur de plateformes de soins virtuels, a compromis les renseignements personnels sur la santé de plus de 100 000 patients de 32 fournisseurs de soins de santé. Cette intrusion, attribuable aux vulnérabilités de ce fournisseur de services, a démontré combien il est crucial de prendre des mesures rigoureuses de protection des données, et notamment de prévoir de solides garanties contractuelles entre les établissements de soins de santé et Aetonix. Cet examen, mené avec la pleine coopération d’Aetonix, a donné lieu à un renforcement des mesures contractuelles et à une meilleure compréhension des responsabilités concernant la protection des renseignements personnels sur la santé qui incombent toujours aux établissements de santé, même lorsqu’ils ont recours à des fournisseurs de services.
En 2023, plus de la moitié des incidents de cybersécurité ont impliqué des attaques contre des tiers, et celle dont Aetonix a été victime rappelle au secteur des soins de santé l’importance d’adopter de solides stratégies de protection des données et mesures de cybersécurité, en particulier lorsque des renseignements personnels sur la santé sont remis à des fournisseurs de services externes.
Mise en œuvre de mesures accrues de protection de la vie privée après qu’un employé d’une SAE a commis une atteinte à la vie privée contre le Réseau d’information pour la protection de l’enfance
Un employé de la Société d’aide à l’enfance (SAE) du Sud-Ouest a accédé au Réseau d’information pour la protection de l’enfance (RIPE) sans autorisation, touchant 24 personnes. Cette atteinte à la vie privée a été découverte lors d’un audit qui faisait suite à une enquête notable. L’équipe de règlement anticipé du CIPVP est intervenue rapidement, et s’est affairée principalement à s’assurer que les victimes avaient été informées, puis à maîtriser l’atteinte à la vie privée et à mettre en œuvre les mesures nécessaires pour éviter que d’autres incidents semblables se produisent.
Réagissant rapidement, la SAE a apporté d’importantes améliorations à ses protocoles de protection de la vie privée, notamment une participation accrue à la formation annuelle sur la protection de la vie privée, la signature régulière de serments de confidentialité, l’ajout d’avertissements sur la protection de la vie privée au moment d’ouvrir une session dans le réseau de la SAE et un programme d’audit structuré. La SAE a également mis à jour sa politique de confidentialité afin d’inclure des mesures disciplinaires en cas d’accès non autorisé à des renseignements personnels. De concert avec l’analyste du règlement anticipé du CIPVP, la SAE a mis en œuvre ces mesures afin de renforcer ses interventions en cas d’éventuelles atteintes à la vie privée, témoignant de l’importance de mesures proactives pour protéger les renseignements sensibles.
Médiation : un règlement fondé sur la collaboration
Une collaboration permet de révéler des renseignements utiles pour une recherche sur la traite de personnes
Un groupe de chercheurs a déposé une demande d’accès à l’information en lien avec une opération de traite de personnes. La police a refusé l’accès à certains renseignements en se fondant sur plusieurs exceptions, à savoir celles fondées sur l’exécution de la loi, les conseils ou recommandations et la vie privée.
La police a accepté de participer à une téléconférence animée par un médiateur au cours de laquelle les chercheurs ont précisé le genre de renseignements qu’ils recherchaient. La police a consulté de façon informelle un autre service de police, après quoi elle a modifié sa décision et divulgué des renseignements supplémentaires. Les chercheurs ont ensuite demandé des données statistiques, que la police leur a fournies, ce qui a officiellement réglé l’appel.
La transparence et l’accès à l’information sont essentiels pour faire la lumière sur les enjeux sociaux qui comptent pour la population ontarienne. Le processus de médiation s’est révélé essentiel pour accélérer la communication de renseignements, mettant en lumière les avantages de méthodes de règlement efficaces et fondées sur la collaboration.
La divulgation de documents historiques permet d’amorcer un dialogue sur la réconciliation
Une personne autochtone a demandé des renseignements historiques sur une escouade des mœurs qui existait entre 1945 et 1955. Certains des renseignements demandés n’ont pas été divulgués en vertu de l’exception liée à l’exécution de la loi.
Une téléconférence fructueuse, suivie d’une recherche plus approfondie menée par la police, a mené à la découverte et à la divulgation de tous les documents pertinents sans frais supplémentaires. Pendant la médiation, on a également expliqué à l’appelant pourquoi certains renseignements n’étaient pas pertinents, ce qui a permis de mettre fin à l’appel à la satisfaction de l’appelant. Cette affaire était importante non seulement parce qu’elle a abouti à la divulgation de dossiers historiques que l’appelant autochtone jugeait importants, mais aussi à cause des discussions informatives qui ont eu lieu pendant la téléconférence, au cours desquelles on a abordé des sujets comme la réconciliation et la rafle des années 60, et qui ont permis d’établir un climat de confiance.
Arbitrage : efficacité et équité
Ordonnance prévoyant la divulgation de documents importants sur la mort d’un détenu // PO-4428
L’appelant dans cette affaire était le père du détenu décédé, qui voulait avoir accès aux renseignements concernant les circonstances entourant la mort de son fils après une altercation avec des agents correctionnels au Centre correctionnel du Centre-Est. Le ministère du Solliciteur général a refusé d’accorder l’accès aux documents, invoquant les exceptions liées à l’emploi, à l’exécution de la loi et à la vie privée.
L’arbitre du CIPVP a ordonné la divulgation de plusieurs documents, notamment ceux qui faisaient état de recours à la force, ainsi que des vidéos de surveillance, qui montraient les agissements des agents correctionnels. L’arbitre a fait valoir que même si certains des renseignements contenus dans ces documents étaient assujettis à l’exception obligatoire fondée sur la vie privée, d’autres renseignements devaient être divulgués, étant donné qu’il était dans l’intérêt public de connaître les circonstances entourant le décès du détenu.
Cette ordonnance souligne que les institutions gouvernementales doivent interpréter l’exception liée aux relations de travail et à l’emploi de façon compatible avec la transparence qui fait partie des objets de la LAIPVP. Elle souligne également que les représentants du gouvernement ne doivent pas invoquer les exceptions liées à la vie privée pour échapper à la surveillance du public.
La transparence dans les services policiers MO-4403
Un particulier a demandé des renseignements de haut niveau sur les homicides impliquant des partenaires intimes élucidés par la Commission des services policiers de Kingston entre 2015 et 2020. L’arbitre du CIPVP a mis en balance le droit individuel à la vie privée et la pertinence de soumettre la police à l’examen du public, et a décidé que la transparence des opérations policières, en particulier en ce qui concerne la violence conjugale, l’emportait sur les préoccupations relatives à la protection de la vie privée dans ce contexte. Elle a estimé que même si une exception au droit à la vie privée s’appliquait, la nécessité manifeste de comprendre comment ces affaires délicates sont traitées par les forces de l’ordre dans l’intérêt public l’aurait emporté sur une telle exception.
La violence conjugale est un problème majeur de santé publique, et le public doit savoir comment la police traite ces affaires et fait enquête à leur sujet. Les renseignements personnels peuvent être divulgués dans le but de soumettre les institutions gouvernementales à l’examen du public.
Faits saillants sur des enquêtes récentes concernant la protection de la vie privée
Les enquêteurs du CIPVP traitent les plaintes concernant la protection de la vie privée et examinent les atteintes à la vie privée qui n’ont pas fait l’objet d’un règlement anticipé. Après leur enquête, ils formulent des constatations et des recommandations à l’institution ou à l’organisation concernée. Dans certains cas, l’affaire peut faire l’objet d’un examen officiel et d’une ordonnance exécutoire.
Protection de la vie privée des étudiants dans le cadre de la surveillance des examens en ligne au moyen de l’IA (PI21-00001)
À la suite d’une plainte déposée par un étudiant qui a souhaité garder l’anonymat, la commissaire a ouvert un dossier de plainte aux termes de la LAIPVP pour faire enquête sur l’utilisation du logiciel de surveillance d’examens Respondus à l’Université McMaster. Ce logiciel bloque certaines fonctions de l’ordinateur pendant les examens en ligne afin que l’étudiant ne puisse pas effectuer de recherche sur Internet, consulter d’autres fichiers sur son ordinateur, utiliser la fonction copier-coller, échanger des messages ou partager son écran avec d’autres personnes. Il recueille aussi des données biométriques sensibles et surveille les mouvements et le comportement des étudiants par des enregistrements audio-vidéo, en utilisant l’IA pour détecter les cas éventuels de tricherie.
L’enquête a permis de conclure que la loi autorise l’université à tenir et à surveiller des examens afin de garantir l’intégrité universitaire et que rien n’empêche légalement l’université de le faire en ligne, pendant et après la pandémie. Il s’agit d’un objectif légitime, car on se tourne de plus en plus vers l’apprentissage à distance, et les risques de tricherie associés aux outils numériques modernes sont plus élevés.
Notre enquête a également révélé que la collecte par l’université de renseignements personnels concernant les étudiants était techniquement nécessaire au bon fonctionnement de ce logiciel de surveillance d’examens. Cependant, la nature sensible des renseignements personnels recueillis et les conclusions importantes tirées en se fondant sur les mouvements et le comportement des étudiants au moyen de l’IA soulevaient d’importantes préoccupations en matière de protection de la vie privée.
L’avis que l’université remettait aux étudiants quant aux fins de cette collecte de données a été jugé inadéquat, et les mesures prises par l’université pour protéger les renseignements personnels des étudiants dans le cadre de ses ententes contractuelles avec l’entreprise étaient insuffisantes. L’utilisation non consensuelle par l’entreprise d’enregistrements audio et vidéo des étudiants, y compris par l’intermédiaire de chercheurs tiers, afin d’améliorer le rendement du système et ses services, était particulièrement préoccupante.
La commissaire a recommandé à l’Université McMaster de prendre des mesures plus strictes pour protéger les renseignements personnels des étudiants dans le cadre de la surveillance des examens en ligne et d’adopter une approche qui concilie l’intégrité universitaire avec le droit à la vie privée des étudiants. Elle a également formulé d’autres recommandations sur les risques plus généraux pour la vie privée et l’éthique associés à l’utilisation de l’IA et demandé à l’université de rendre compte de la mise en œuvre de ces recommandations dans un délai de six mois.
La cybersécurité dans les soins de santé : leçons tirées d’une atteinte majeure à la vie privée // Décision 210 en vertu de la LPRPS
Une cyberattaque survenue dans un hôpital a touché les renseignements personnels sur la santé de plus d’un million de patients. Le pirate s’est livré à une attaque par rafale de mots de passe pour obtenir l’accès à plus d’une douzaine de comptes de l’hôpital, dont un compte de longue date assorti de privilèges importants, qu’il a utilisés pour accéder à des serveurs et en soutirer des données. Il a pu le faire parce qu’un pare-feu n’avait pas été rétabli après avoir fait l’objet d’un changement temporaire, de sorte que le serveur était relié à Internet et vulnérable au piratage.
L’hôpital n’a pas été en mesure de préciser exactement quelles données avaient été compromises et a estimé que plus d’un million de patients pouvaient être concernés. Il a émis un avis public et s’est engagé à surveiller le Web caché pendant deux ans afin de repérer toute utilisation abusive des données. Après avoir examiné ses protocoles de sécurité, l’hôpital a révisé ses politiques de sécurité de l’information, en se concentrant sur la force des mots de passe, les privilèges de compte et la sécurité du pare-feu. Le CIPVP a estimé que les mesures prises par l’hôpital et les modifications apportées à sa politique constituaient une mesure adéquate et qu’il n’était pas nécessaire de procéder à un examen officiel de cette affaire.
Cet incident rappelle que les menaces liées à la cybersécurité sont en constante évolution et qu’il importe de mettre en place des mesures rigoureuses de protection des données. Les établissements de santé doivent revoir et améliorer continuellement leurs protocoles de sécurité, en particulier en ce qui concerne la gestion des mots de passe, les contrôles d’accès et la sécurité des pare-feu.
Le gouvernement doit modifier la LAIPVP et la LAIMPVP afin d’établir un cadre complet de protection de la vie privée qui positionne bien l’Ontario dans un monde numérique en pleine évolution, qui sait s’adapter aux changements rapides et qui permet à la prochaine génération d’être optimiste quant à son avenir. Ce cadre modifié devrait prévoir la déclaration obligatoire des atteintes à la vie privée et des exigences plus explicites en matière de reddition de comptes et de transparence pour les institutions gouvernementales afin d’atténuer le risque d’atteinte à la vie privée. Il devrait également inclure des dispositions relatives au dépôt de plaintes en matière de protection de la vie privée, notamment à l’initiative de la commissaire, et des pouvoirs d’enquête plus explicites pour le CIPVP, y compris le pouvoir d’exiger la production de preuves et de rendre des ordonnances contraignantes. Ces réformes sont essentielles pour garantir une gestion cohérente et transparente des atteintes à la vie privée, renforcer la reddition de comptes des institutions et préserver la confiance de la population dans le secteur public et parapublic de l’Ontario.