Les cyberattaques, la sécurité des données et les atteintes à la vie privée ne sont pas des sujets traités uniquement dans les discussions techniques et ésotériques des avocats, des spécialistes des TI et des communautés de la protection des renseignements personnels; au cours des deux dernières années, ils sont plutôt devenus des sujets de conversation abordés ici et là (que ces conversations aient eu lieu ou non en personne ou, ironiquement, en ligne et par vidéoconférence).

En général, les organisations canadiennes connaissent fort bien les risques potentiels liés aux cyberattaques et l’importance d’assurer la protection des renseignements personnels. Cependant, elles connaissent un peu moins bien les conséquences des manquements ou les types de sanctions judiciaires que ces manquements peuvent entraîner aujourd’hui ou dans un avenir rapproché.

Au Canada, les cas d’application des règles par l’imposition de sanctions ou d’amendes liées à des violations de données sont rares, que ce soit pour avoir omis de signaler une violation ou pour avoir négligé d’assurer la protection des renseignements personnels en premier lieu. La Loi sur la protection des renseignements personnels et les documents électroniques, tout comme la Personal Information Protection Act de l’Alberta, prévoit l’imposition de ce type d’amende (pouvant atteindre 100 000 $), mais, depuis 2018, aucune amende n’a encore été infligée.

Comme nous l’avons déjà mentionné, les organismes de réglementation de l’Union européenne disposent d’un ensemble de mesures d’application beaucoup plus important, qu’ils mettent en œuvre régulièrement pour faire appliquer les dispositions du Règlement général sur la protection des données (« RGPD ») en imposant des amendes, aussi bien de montants importants que symboliques. La législation canadienne évolue et il sera bientôt possible d’imposer des sanctions importantes au Québec, après l’adoption du Projet de loi n° 64, qui prévoit des sanctions maximales semblables à celles du RGPD. La législation fédérale canadienne adoptera très vraisemblablement une voie similaire lorsque le Projet de loi C-11 sera présenté de nouveau au Parlement canadien après avoir été mis de côté dans la foulée de la pandémie de COVID-19, en 2020. Le Commissariat à la protection de la vie privée du Canada vient tout récemment de formuler plusieurs recommandations à cet égard, notamment en ce qui concerne l’importance de disposer de stratégies d’application efficaces et la possibilité d’imposer des sanctions administratives.

Amende de 1,5 million d’euros pour avoir omis de protéger les renseignements personnels et de mettre en place les contrats appropriés

Une affaire très récente en France illustre l’importance des amendes en jeu et les types d’infractions pour lesquelles elles peuvent être imposées. Dans cette affaire, l’autorité française de protection des données, la Commission Nationale de l’Informatique et des Libertés (« CNIL »), a infligé une amende de 1,5 million d’euros à un fournisseur de solutions logicielles, Dedalus Biologie, pour avoir omis de protéger les renseignements personnels et les renseignements médicaux de 500 000 citoyens français touchés par une fuite de données. Lors de la migration d’un logiciel d’un des clients de la société, un volume de données plus important que nécessaire a été extrait (Dedalus Biologie vend des solutions logicielles destinées aux laboratoires d’analyse médicale).

Les manquements spécifiques à l’article 32 du RGPD qui ont été relevés par la CNIL sont les suivants :

  • absence de procédure spécifique pour les opérations de migration de données;
  • absence de chiffrement des données personnelles stockées sur le serveur problématique;
  • absence d’effacement automatique des données après migration vers l’autre logiciel;
  • absence d’authentification requise depuis Internet pour accéder à la zone publique du serveur;
  • utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur;
  • absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur.

La CNIL a également constaté que Dedalus Biolgie n’avait pas mis en place les contrats appropriés pour le traitement des renseignements, comme l’exige l’article 28 du RGPD.

Points à retenir pour les organisations canadiennes

Les commissariats canadiens à la protection de la vie privée prendront-ils des mesures d’application semblables à celles de la CNIL lorsqu’ils disposeront des outils pour le faire? Les détails et les répercussions de la réforme des lois sur la protection des renseignements personnels ne sont pas encore connus, mais un renforcement des mesures d’application et un accroissement des sanctions potentielles feront inévitablement partie de cette réforme. L’une des principales conclusions de la décision de la CNIL est que les manquements ne doivent pas forcément révéler une insouciance intentionnelle ou totale à l’égard de la sécurité des renseignements. Ils peuvent découler du simple fait que l’organisation n’a pas mis en œuvre des mesures de sécurité techniques ou administratives appropriées, par exemple, avoir omis de mettre en place les contrats appropriés avec les responsables du traitement ou les sous-traitants.