Affaires marquantes

Comptes rendus d’affaires et de décisions marquantes du CIPVP

Affaires vedettes

Médecin tenant un iPad et regardant des données médicales.

Décision 249 en vertu de la LPRPS

Les attaques par rançongiciel ne sont pas rares, surtout à notre époque où les technologies progressent rapidement. Comme ces types d’attaques se multiplient, les dépositaires de renseignements sur la santé devraient mettre en place de solides mesures préventives pour minimiser et prévenir les risques des attaques liées à la cybersécurité.

Main tendue vers une illustration numérique d'un bouclier.

Décision 243 en vertu de la LPRPS

La recherche s’appuyant sur des renseignements sur la santé joue un rôle crucial pour améliorer les traitements médicaux et la qualité des soins. Cependant, ces renseignements sont de nature délicate, et en Ontario, les chercheurs en santé qui les utilisent doivent observer les exigences de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS).

Pirate utilisant un ordinateur portable.

Réponse à une cyberattaque : l’obligation d’aviser les particuliers en vertu de la LPRPS et de la LSEJF

Les institutions du secteur public courent un risque croissant de cyberattaque. Lorsqu’elles en sont victimes, elles doivent agir vite pour maîtriser l’atteinte à la vie privée et aviser les particuliers dont des renseignements personnels auraient pu avoir été touchés. Ces affaires soulignent l’obligation des organisations d’aviser les particuliers concernés en cas de cyberattaque aux termes de la Loi de 2004 sur la protection des renseignements personnels sur la santé et de la partie X de la Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille. .

Recent cases of note

Cyberattaque contre Toronto Public Library: importance des mesures de sécurité raisonnables et de la notification aux personnes concernées en vertu de la LAIMPVP

Une cyberattaque commise contre Toronto Public Library a révélé des vulnérabilités dans les systèmes de cet organisme, lesquels contenaient beaucoup de renseignements personnels concernant des particuliers. Lisez cette lettre de clôture du dossier pour découvrir comment cette affaire a été réglée au stade du règlement anticipé.

PI21-00001

Le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (le CIPVP) a reçu, aux termes de la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP ou la Loi), une plainte concernant le fait que l’Université McMaster (McMaster ou l’université) avait utilisé le logiciel de surveillance d’examens Respondus.

Décision 210 en vertu de la LPRPS

Un hôpital public a fait savoir au Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (le CIPVP) qu’il y avait eu atteinte à la vie privée en contravention de la Loi de 2004 sur la protection des renseignements personnels sur la santé (la Loi) à la suite d’une cyberattaque commise contre l’hôpital. Après que l’hôpital a signalé cette atteinte à la vie privée, le CIPVP a ouvert un dossier et a reçu par la suite quatre plaintes de la part de personnes concernées.

Cyberattaque d'une entité prescrite : Le rapport du CIPVP met en évidence la réponse à une atteinte à la vie privée et détaille le processus de notification indirecte utilisée pour atteindre les personnes affectées

Une personne prescrite en vertu de la Loi sur la protection des renseignements personnels sur la santé a signalé une atteinte à la protection des renseignements personnels au CIPVP concernant une cyberattaque qui a entraîné la copie non autorisée de renseignements personnels sur la santé d’environ 3,4 millions de personnes, lesquels se trouvaient dans le serveur de transfert sécurisé de fichiers de la personne prescrite. Les auteurs de menace ont obtenu un accès non autorisé au serveur en exploitant une vulnérabilité de jour zéro dans le logiciel de transfert de fichiers, MOVEit, qui était installé dans ce serveur.

Prévention des atteintes à la vie privée dans le secteur de la santé : l’importance de la formation, des politiques et des ententes de confidentialité

En vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), les dépositaires de renseignements sur la santé doivent protéger les renseignements personnels sur la santé de leurs patients. Ils doivent notamment adopter des politiques concernant l’utilisation de ces renseignements à des fins de formation et assurer le respect de ces politiques. Cette affaire souligne combien il est important d’adopter des politiques de confidentialité exhaustives, de fournir une formation annuelle sur la protection de la vie privée et de prévoir des ententes de confidentialité afin de prévenir l’accès non autorisé aux renseignements personnels sur la santé.