Réponse à une cyberattaque : l’obligation d’aviser les particuliers en vertu de la LPRPS et de la LSEJF

Contexte

Les décisions suivantes font suite à des cyberattaques distinctes dont quatre organisations différentes ont été la cible. Trois de ces cyberattaques ont été commises contre des dépositaires de renseignements sur la santé assujettis à la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) et la quatrième a pris pour cible une société d’aide à l’enfance assujettie à la partie X de la Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille (LSEJF). Dans ces quatre affaires, les organisations ont soutenu qu’elles n’avaient pas l’obligation d’aviser les particuliers concernés, car rien ne permettait de croire que des renseignements personnels sur la santé ou des renseignements personnels avaient été subtilisés (ou exfiltrés) de leurs systèmes. Le Bureau du commissaire à l’information et à la protection de la vie privée (CIPVP) était en désaccord, et a conclu que la perte ou l’utilisation ou la divulgation non autorisée de renseignements personnels (ou de renseignements personnels sur la santé) donnait lieu à l’obligation d’aviser les particuliers concernés, même si la cyberattaque n’avait pas entraîné l’exfiltration de renseignements.

Conclusions

Dans la Décision 19 en vertu de la LSEJF,1 la Société d’aide à l’enfance de Halton (SAE) a été victime en février 2022 d’une attaque par rançongiciel qui a causé le chiffrement total de certains de ses systèmes. Ce chiffrement a été effectué au niveau du conteneur et non à celui des dossiers. L’entreprise de criminalistique chargée d’analyser l’attaque a établi que le chiffrement de certains serveurs de la SAE commis par l’auteur de menace « n’avait pas entraîné l’accès aux données ou l’exfiltration de données » contenues dans ces serveurs.

L’arbitre a conclu que le chiffrement des serveurs contenant des renseignements personnels avait donné lieu à l’utilisation non autorisée et à la perte de ces renseignements au sens du paragraphe 308 (2) de la LSEJF. La SAE avait l’obligation d’aviser les particuliers concernés « à la première occasion raisonnable ». Cependant, l’arbitre a établi qu’en l’occurrence, il n’était pas nécessaire de donner un avis direct étant donné les facteurs pertinents, dont la diligence avec laquelle la SAE avait maîtrisé la cyberattaque et y avait remédié, et le temps qui s’était écoulé. L’arbitre a ordonné à la SAE de fournir un avis public indirect dans les 30 jours suivant la date de sa décision, soit en publiant un avis général dans son site Web, soit d’une autre façon.

Dans la Décision 253 en vertu de la LPRPS,2 le Hospital for Sick Children a été la cible d’une attaque par rançongiciel en décembre 2022. L’auteur de menace a chiffré de nombreux serveurs de l’hôpital au niveau du conteneur. Bon nombre de ces serveurs contenaient des renseignements personnels sur la santé. L’enquête n’a pas permis d’établir que des renseignements personnels sur la santé avaient été consultés ou subtilisés. Immédiatement après l’attaque et au cours des semaines qui ont suivi, l’hôpital a publié des mises à jour dans son site Web et dans les médias sociaux pour informer le public de cette attaque et des progrès de l’enquête et des mesures correctives.

L’arbitre a établi que l’attaque par rançongiciel avait donné lieu à l’utilisation non autorisée et à la perte de renseignements personnels sur la santé au sens du paragraphe 12 (2) de la LPRPS. L’hôpital avait donc l’obligation de donner un avis en vertu de la LPRPS, ce qu’il a fait. Cependant, l’arbitre a conclu que l’avis de l’hôpital n’était pas conforme au paragraphe 12 (2) de la LPRPS, car il ne comportait pas d’énoncé précisant le droit de porter plainte au CIPVP. Cependant, compte tenu du fait que l’hôpital avait réagi adéquatement, de l’ensemble des circonstances et du temps écoulé, l’arbitre a estimé qu’il ne serait pas utile d’ordonner la remise d’un avis révisé et a donc conclu son examen sans rendre d’ordonnance.

Dans la Décision 254 en vertu de la LPRPS, le Bureau de santé publique de Kingston, Frontenac, Lennox et Addington a été la cible d’une attaque par rançongiciel en juin 2021. Le bureau de santé a confirmé que l’auteur de menace avait chiffré plus de 8 000 dossiers de patients dans ses serveurs. Bien que l’enquête ait permis de découvrir des outils associés à l’exfiltration de données dans certains serveurs qui contenaient des renseignements personnels sur la santé, rien ne permettait de croire que l’auteur de menace avait subtilisé des renseignements. Le bureau de santé a déclaré que « toutes les données importantes avaient pu être déchiffrées » après paiement d’une rançon. Après l’incident, le bureau de santé a publié des communiqués de presse informant le public de cette attaque et des progrès de ses mesures de rétablissement.

Comme dans la Décision 253 en vertu de la LPRPS, l’arbitre a conclu que l’attaque par rançongiciel avait donné lieu à l’utilisation non autorisée et à la perte de renseignements personnels sur la santé au sens du paragraphe 12 (2) de la LPRPS. Par conséquent, le bureau de santé avait l’obligation de donner un avis en vertu de la LPRPS. L’arbitre a établi que l’avis du bureau de santé n’était pas conforme au paragraphe 12 (2) de la LPRPS, car il aurait dû être plus détaillé et indiquer le droit de porter plainte au CIPVP. Cependant, compte tenu du fait que le bureau de santé avait réagi adéquatement, de l’ensemble des circonstances et du temps écoulé, l’arbitre a estimé qu’il ne serait pas utile d’ordonner la remise d’un avis supplémentaire et a donc conclu son examen sans rendre d’ordonnance.

Dans la Décision 255 en vertu de LPRPS, le Bureau de santé du district de Simcoe Muskoka a été la cible d’un hameçonnage par courriel en juillet 2022. L’auteur de menace a obtenu l’accès à un compte de courrier électronique du bureau de santé contenant environ 20 000 courriels, dont environ 1 000 courriels contenant des renseignements personnels sur la santé. L’enquête du bureau de santé a permis d’établir que l’auteur de menace n’avait ni envoyé ni réacheminé de courriels du compte en question. L’enquête de criminalistique a également permis de constater qu’il n’avait accédé que pendant une heure à ce seul compte de courrier électronique. Au cours de l’examen du CIPVP, le bureau de santé a envoyé des lettres détaillées aux particuliers dont les renseignements personnels sur la santé auraient pu avoir été touchés par cette attaque.

L’arbitre a conclu que selon la prépondérance des probabilités, l’accès de l’auteur de menace à un compte de courrier électronique du bureau de santé avait donné lieu à l’utilisation non autorisée et à la perte de renseignements personnels sur la santé. Par conséquent, l’obligation d’aviser les particuliers concernés en vertu du paragraphe 12 (2) de la LPRPS s’appliquait. Bien que le bureau de santé ait donné un avis direct aux particuliers pendant l’examen du CIPVP, l’arbitre a conclu qu’il aurait dû l’avoir fait à la première occasion raisonnable. Dans les circonstances, l’arbitre a conclu l’examen sans rendre d’ordonnance.

Principales constatations

Le chiffrement par un auteur de menace de renseignements personnels (ou de renseignements personnels sur la santé), qui rend les renseignements inaccessibles, peut constituer une perte ou encore une utilisation ou une divulgation non autorisée de ces renseignements. Cette règle s’applique même sans exfiltration ni consultation de fichiers, et elle donne lieu à l’obligation d’aviser les particuliers concernés.

  1. Le chiffrement transforme les renseignements personnels (ou les renseignements personnels sur la santé) de sorte qu’ils sont inaccessibles à leurs utilisateurs autorisés. Rendre les documents inaccessibles au dépositaire de renseignements sur la santé ou au fournisseur de services en vue de les utiliser, de les divulguer ou de les manipuler à des fins non autorisées revient à les « employer » ou à les « traiter ». En d’autres mots, ces renseignements sont utilisés au sens de la LPRPS et de la LSEJF. 
  2. Les renseignements qui sont inaccessibles aux utilisateurs autorisés en raison d’une activité non autorisée sont également « perdus » au sens du paragraphe 12 (2) de la LPRPS et du paragraphe 308 (2) de la LSEJF. En chiffrant un serveur, l’auteur de menace empêche les utilisateurs autorisés d’accéder aux renseignements personnels (ou aux renseignements personnels sur la santé) dont ils ont besoin pour fournir des services. Il y a donc perte de renseignements, même si ce n’est que pendant une brève période. 
  3. Le fait que les renseignements ont été récupérés après avoir été inaccessibles en raison d’une attaque par rançongiciel ne soustrait pas à l’obligation d’aviser les particuliers concernés en vertu du paragraphe 12 (2) de la LPRPS et du paragraphe 308 (2) de la LSEJF.
  4. Il est possible de respecter l’obligation d’aviser les particuliers concernés de diverses façons. Pour déterminer le type d’avis à donner, l’organisation doit tenir compte des circonstances pertinentes, dont les suivantes : 
  • le nombre de particuliers qui pourraient avoir été touchés par la cyberattaque.
  • la question de savoir si la réponse à la cyberattaque a été adéquate.
  • le volume et le caractère délicat des renseignements concernés.
  • toute indication selon laquelle l’attaque continue de poser des risques pour la vie privée.

Il arrive que les cybercriminels chiffrent des renseignements personnels pour les rendre inaccessibles à l’institution et paralyser ses activités. Parfois, ils parviennent à accéder aux serveurs d’une institution et menacent de publier des renseignements personnels délicats en ligne. Lorsqu’elles sont la cible d’une cyberattaque, les institutions doivent agir rapidement pour colmater la brèche de cybersécurité, rétablir leurs activités et aviser les particuliers dont des renseignements personnels auraient pu avoir été touchés.

Notes

  1. Cette décision fait actuellement l’objet d’une révision judiciaire et d’un appel.
  2. Cette décision fait actuellement l’objet d’une révision judiciaire.

Aidez-nous à améliorer notre site web. Cette page a-t-elle été utile?
Lorsque l'information n'est pas trouvée

Note:

  • Vous ne recevrez pas de réponse directe. Pour toute autre question, veuillez nous contacter à l'adresse suivante : @email
  • N'indiquez aucune information personnelle, telle que votre nom, votre numéro d'assurance sociale (NAS), votre adresse personnelle ou professionnelle, tout numéro de dossier ou d'affaire ou toute information personnelle relative à votre santé.
  • Pour plus d'informations sur cet outil, veuillez consulter notre politique de confidentialité.