Le 22 août 2016, le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») a rendu public un important rapport sur l'atteinte à la sécurité des données dans l'affaire Ashley Madison. Par suite d'un piratage, ont été divulgués les renseignements personnels de quelque 32 millions d'utilisateurs du site Ashley Madison qui s'adressait à des gens, mariés ou engagés dans une relation durable, à la recherche d'aventures. Le Commissariat, qui a enquêté avec le Australian Information Commissioner (le Commissariat à la protection de la vie privée de l'Australie), a soulevé un certain nombre de questions relatives aux pratiques que la société mère d'Ashley Madison, Avid Life Media (« ALM ») avait mises en place en matière de sécurité. Dans son rapport, le Commissariat a étudié les circonstances entourant l'atteinte à la sécurité des données et a tenu compte des pratiques d'ALM en matière de traitement des renseignements qui ont pu influer sur la probabilité que cet incident se produise et sur ses conséquences. Dans une section intitulée « Takeaways for all Organizations », le Commissariat a soulevé un certain nombre d'éléments importants et formulé des recommandations clés à l'intention de toutes les organisations qui sont assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), particulièrement celles qui recueillent, utilisent ou communiquent des renseignements personnels qui peuvent être sensibles. Nous avons sélectionné un certain nombre de leçons importantes à retenir dans le rapport du Commissariat et nous les étudions ci-dessous :

1. Le préjudice subi va au-delà des questions financières

Dès le départ, le Commissariat a fait remarquer que le préjudice peut aller au-delà de questions ou d'incidences financières, ce qui est une notion intéressante. Très souvent, lorsqu'elles gèrent une atteinte à la sécurité des renseignements personnels ou un incident de cette nature, les organisations supposent que les données en question ne sont pas sensibles à moins qu'elles aient trait à la santé des intéressés ou que l'incident entraîne le vol d'identité ou la fraude. Cependant, comme le Commissariat l'a signalé, les conséquences financières négatives d'une atteinte à la sécurité des données, bien qu'elles sautent aux yeux, ne représentent pas la gamme complète des préjudices possibles. On relève habituellement deux types principaux de préjudices : les préjudices objectifs, comme les pertes financières, l'atteinte à l'intégrité physique de la personne ou la discrimination, et les préjudices davantage subjectifs qui font intervenir une composante émotionnelle, comme l'humiliation ou l'embarras. Le Commissariat a souligné que l'atteinte à la réputation (qui peut être liée aux types subjectif et objectif de préjudice) peut avoir de graves conséquences et des effets à long terme sur la capacité de la personne touchée à trouver et à conserver un emploi, à entretenir des relations et à se sentir en sécurité, et ce, sans qu'il soit facile de remédier à la situation. Par conséquent, il est essentiel que les organisations évaluent soigneusement tous les risques de préjudice, qu'elles en soupèsent correctement l'ampleur et qu'elles prennent des mesures pour les réduire.

2. Mesures de sécurité soutenues par un cadre de gouvernance adéquat et cohérent

Pour ce qui est des mesures de sécurité, nombre d'entreprises et d'organisations se concentrent sur la technologie, mais ne tiennent pas compte d'autres questions importantes comme la gouvernance et la culture d'entreprise. Comme le Commissariat l'a indiqué, pour honorer leurs obligations en vertu de la LPRPDE, les organisations qui détiennent de forts volumes de renseignements personnels doivent prévoir des mesures de sécurité qui sont appropriées compte tenu de la sensibilité des données recueillies et de leur volume, entre autres facteurs. Bien que les mesures de sécurité de nature technologique soient importantes, elles devraient être soutenues par un cadre de gouvernance adéquat pour que l'on puisse garantir que les pratiques sont appropriées à la lumière des risques courus. Ce cadre de gouvernance peut être élaboré par la mise en place de politiques et de procédures, mais également par la formation des employés et par la prise de mesures qui font en sorte que les pratiques sont toujours bien comprises et mises en œuvre. Dans le cas d'ALM, le Commissariat a conclu que l'absence de cadre de gouvernance adéquat était « une lacune inacceptable » qui « l'empêchait de prévenir les multiples failles de sécurité » relevées.

3. Imposition de frais pour la suppression des renseignements personnels

Avant que ne survienne l'atteinte à la sécurité des données, ALM avait coutume de facturer 19 $ pour la « suppression définitive » du compte d'un utilisateur. Bien que la LPRPDE n'interdise pas expressément la facturation de frais pour faire supprimer des renseignements personnels des bases de données d'une organisation, selon le Commissariat, il faudra surmonter un obstacle de taille pour imposer une telle contrainte à l'exercice des droits en matière de protection des renseignements personnels. Plus précisément, le Commissariat a signalé que le caractère raisonnable de ces frais devrait être évalué à la lumière de facteurs comme le coût réel subi par l'organisation par rapport aux frais facturés et l'effet probable de cette imposition sur la décision que prendrait l'intéressé quant à accorder ou à retirer son consentement. Qui plus est, même dans les cas où l'imposition de ces frais est raisonnable, l'intéressé devrait en être informé de façon claire et non équivoque avant de donner son consentement. Il est rare que nous voyions des organisations qui discutent de cet aspect de leur politique sur la protection des renseignements personnels et cette mise en garde sera utile pour toutes celles qui entendent facturer des frais pour la suppression des renseignements personnels de leurs utilisateurs.

4. Conservation des renseignements contenus dans des profils inactifs ou désactivés

ALM avait l'habitude de conserver indéfiniment tous les renseignements contenus dans des profils inactifs ou désactivés au cas où l'intéressé souhaiterait réactiver son profil. Cette mesure avait cours malgré le fait que 99,9 % des utilisateurs d'ALM qui ont bel et bien réactivé leur compte l'ont fait dans les 29 jours qui ont suivi la désactivation. En d'autres termes, les politiques de conservation des renseignements devraient reposer sur un motif avéré et prévoir un calendrier raisonnable. Ainsi, il peut être justifié de conserver les données pendant un certain laps de temps mais seulement si l'on peut démontrer qu'il est fréquent que les utilisateurs se prévalent de nouveau du service pendant l'intervalle en question et qu'ils ont été informés comme il se doit de la pratique en cours avant de donner leur consentement et de signer un contrat, par exemple.

5. Vérification des adresses de courriel

Au moment de l'inscription, ALM exigeait de ses utilisateurs qu'ils lui fournissent une adresse de courriel dont elle ne vérifiait cependant pas l'authenticité. Le Commissariat a signalé que cette lacune faisait courir des risques injustifiés aux non-utilisateurs pour ce qui est de l'atteinte à la réputation; ainsi, on ouvrait la porte à la création d'un faux profil au moyen d'une adresse de courriel authentique, ce qui pouvait nuire à la réputation du véritable titulaire de l'adresse. Par suite de l'incident, des non-utilisateurs d'ALM dont l'adresse de courriel a pu être diffusée par le pirate peuvent avoir subi un préjudice et faire valoir une réclamation contre l'organisation qui a conservé leurs renseignements personnels sans leur consentement. Rappel évident : les organisations qui gèrent des données sensibles et recueillent des adresses électroniques devraient mettre en place un processus de vérification des courriels. On voit aussi les risques que court une organisation qui conserve inutilement des renseignements personnels et qui contrevient ainsi au principe de la « minimisation » des données.

6. Icônes ou sceaux faux ou trompeurs

Enfin, de nombreuses entreprises affichent un sceau ou une icône qui confirme la qualité ou la sécurité de leurs produits ou en font l'éloge. Ainsi, ALM, au moment de l'atteinte à la sécurité des données, arborait sur son site une icône qu'elle avait elle-même fabriquée : cette icône indiquait que le site était sécurisé et donnait l'impression, à tort, que les pratiques de l'organisation en matière de sécurité étaient exemplaires. Le Commissariat a fait remarquer que toute déclaration fausse ou trompeuse, ce qui comprend l'affichage d'icônes ou de sceaux faux ou trompeurs, peut avoir une incidence sur la validité du consentement des utilisateurs. En effet, se fiant à cette déclaration, l'intéressé peut être induit en erreur quant à la sécurité du service auquel il songe s'inscrire, ce qui peut influencer grandement sa décision d'utiliser ce service.

Conclusion

Au départ, nombre d'organisations et d'entreprises peuvent ne pas se sentir visées par l'atteinte à la sécurité des données qui a eu lieu dans l'affaire Ashley Madison, parce que les renseignements personnels qu'elles gèrent ne sont pas aussi sensibles que les données sur des utilisateurs en quête d'aventures extraconjugales. Toutefois, les mises en garde et les recommandations qui sont contenues dans le rapport du Commissariat s'appliquent à toutes les organisations. En effet, ce rapport fait la lumière sur un certain nombre de sujets qui touchent l'ensemble des entreprises et des organisations, comme l'importance de tenir compte du risque associé au préjudice subjectif et à l'atteinte à la réputation; l'obligation de mettre en place des mesures de sécurité des données qui sont soutenues par un cadre de gouvernance adéquat; le poids des risques associés à la facturation de frais pour la suppression des renseignements contenus dans le profil d'un utilisateur; la conservation à long terme des renseignements qui figurent dans un profil inactif ou désactivé; la vérification des adresses de courriel; et les répercussions de déclarations fausses ou trompeuses, ou de sceaux ou icônes fabriqués de toutes pièces, sur la validité du consentement.

Auteure

Éloïse Gratton Ad. E.
EGratton@blg.com
514.954.3106 (Montréal) / 416.367.6225 (Toronto)

Autre auteur

Raphaël Girard

Compétences

Respect de la vie privée et protection des renseignements personnels