25 mars 2014

CPVPC: rapport d'enquête sur la perte d'un disque dur à EDSC (anciennement RHDCC)

En janvier 2013, le ministère des Ressources humaines et Développement des compétences (RHDCC), maintenant Emploi et Développement social Canada (EDSC), avait révélé avoir perdu un disque dur externe contenant des renseignements personnels au sujet de 583 000 personnes ayant contractés un prêt d'études. Le Commissariat à la protection de la vie privée du Canada (CPVPC) avait alors ouvert une enquête afin de déterminer s'il y a eu ou non atteinte à la Loi sur la protection des renseignements personnels. (billet)

Le CPVPC vient de publier son rapport d'enquête et on peut lire dans le communiqué que: 
"À la suite de la disparition d’un disque dur portatif contenant les renseignements personnels de 583 000 bénéficiaires de prêts d’études, une enquête souligne la nécessité de s’assurer que les politiques officielles sur la vie privée et la sécurité ne sont pas que des mots sur papier.
Une enquête du Commissariat à la protection de la vie privée du Canada a été réalisée après qu’Emploi et Développement social Canada (EDSC), anciennement Ressources humaines et Développement des compétences Canada, a déclaré la perte d’un disque dur.
Un rapport d’enquête déposé au Parlement aujourd’hui expose en détail comment le disque dur était laissé sans protection pendant de longues périodes, n’était pas protégé par un mot de passe et contenait des renseignements personnels non cryptés. De plus, les employés qui manipulaient le disque dur n’étaient pas au courant de la nature délicate des renseignements qu’il contenait.
Selon le rapport, l’écart entre les politiques et les pratiques d’EDSC a entraîné des faiblesses en ce qui a trait aux mesures de contrôle de l’information, aux mesures de contrôle de la sécurité physique et, surtout, à la sensibilisation des employés aux politiques et aux méthodes du Ministère.
« Cet incident devrait servir d’exemple pour toutes les organisations, a indiqué Chantal Bernier, commissaire à la protection de la vie privée par intérim. Mettre les politiques sur papier n’est pas suffisant pour assurer la protection des renseignements personnels. Les politiques doivent être mises en pratique chaque jour et surveillées régulièrement.
Nous sommes heureux qu’EDSC ait accepté toutes nos recommandations et qu’il ait commencé à prendre les mesures nécessaires pour les mettre en œuvre. Nous espérons que cette enquête incitera d’autres ministères fédéraux et des organisations du secteur privé à passer en revue leurs propres politiques et pratiques en matière de protection des renseignements personnels. »
Le Commissariat a entamé son enquête en janvier 2013, après qu’EDSC a signalé qu’un disque dur contenant un nombre considérable de renseignements personnels était disparu depuis deux mois.
Malgré tous ses efforts, le Ministère n’a pas réussi à retrouver le disque dur et il n’a pas pu déterminer si la perte était attribuable à une erreur humaine ou à un geste délibéré visant à nuire.
Le personnel du Programme canadien de prêts aux étudiants d’EDSC a utilisé le disque dur d’une capacité d’un téraoctet du Ministère pour effectuer une sauvegarde des renseignements relatifs au Programme qui étaient stockés dans l’ordinateur central en vue de leur transfert entre les disques durs du réseau.
Le disque dur contenait le numéro d’assurance sociale, le nom, la date de naissance, l’adresse personnelle et le numéro de téléphone, ainsi que le montant et le solde des prêts, de 583 000 bénéficiaires du Programme canadien de prêts aux étudiants. Il contenait aussi le sexe, la langue et l’état civil de certains bénéficiaires.
En raison de pratiques ministérielles défaillantes, EDSC n’a pas été en mesure de déterminer de façon définitive quels renseignements se trouvaient sur le disque dur portatif ou à quand remontait leur dernière mise à jour.
Néanmoins, EDSC affirme que rien n’indique jusqu’à maintenant que les renseignements personnels susceptibles d’être contenus sur le disque dur aient été consultés ou utilisés à des fins frauduleuses.
Selon l’enquête, les employés d'EDSC ont enfreint certains articles de la Loi sur la protection des renseignements personnels — la loi fédérale sur la protection de la vie privée qui s’applique au secteur public — portant sur l’utilisation, la communication et la destruction des renseignements personnels.
EDSC a accepté les 10 recommandations formulées par le Commissariat et a déjà fait d’importants progrès quant à la mise en œuvre de certaines d’entre elles, notamment :
  • Restreindre grandement l’utilisation de dispositifs de stockage portatifs et installer un logiciel sur les ordinateurs de bureau qui empêche l’utilisation de tels dispositifs sans autorisation;
  • Examiner périodiquement les dispositifs de stockage portatifs pour s’assurer qu’ils sont utilisés uniquement aux fins autorisées;
  • Passer en revue tous les fonds de documents, éliminer les documents temporaires et classifier les documents qui restent au niveau de sécurité approprié;
  • Adopter une nouvelle stratégie d’apprentissage intégrée portant sur la protection des renseignements personnels et prévoir la participation obligatoire de tous les employés et l’administration obligatoire d’un test tous les deux ans.
Le Commissariat à la protection de la vie privée du Canada fera un suivi dans un an pour s’assurer qu'EDSC a réalisé des progrès quant à la mise en œuvre des recommandations formulées.
« Pour atténuer efficacement les risques liés à la protection des renseignements personnels, il doit exister une synergie entre les mesures de contrôle de la sécurité et les mesures de contrôle relatives à la protection des renseignements personnels. La mise en œuvre de telles mesures de contrôle aidera EDSC, et l’ensemble des organisations, à protéger adéquatement les renseignements personnels que les Canadiennes et les Canadiens leur confient », a déclaré la commissaire par intérim, Chantal Bernier. Afin de mieux traiter les questions plus vastes d’ordre systémique, nous menons présentement une vérification de l’utilisation de dispositifs de stockage portatifs par des institutions fédérales sélectionnées, et nous venons de rendre publics de nouveaux conseils à l’intention des organisations sur le sujet. »
(Source: CPVPC, Communiqué, 25 mars 2014 - nos soulignements)
À suivre donc ... 

Pour aller plus loin, 

16 mars 2014

Australie: réforme de la Privacy Act 1988

Le 12 mars 2014, les amendements à la loi australienne sur le protection de la vie privée (Privacy Act 1988) sont entrés en vigueur. 

Selon le commissaire à la vie privée d'Australie, Timithy Pilgrim,
"These are the most significant changes to privacy laws in over 25 years and affect a large section of the community. The world has changed remarkably since the late 1980s when the Privacy Act was first introduced, and so the changes were required to bring our laws up to date with contemporary information handling practices, including global data flows". 
(Source: OAIC, Press Release, 11 March 2014)
Les changements portent notamment sur l'harmonisation des principes de protection des renseignements personnels des secteurs public et privé et sur les pouvoirs de l'Office of the Australian Information Commissioner
"The changes include a new set of Australian Privacy Principles (APPs) that will regulate the handling of personal information by Australian Government agencies, businesses with a turnover of more than $3 million or those trading in personal information and all private health service providers.
There are also changes to the credit reporting provisions of the Privacy Act and new regulatory powers for the Office of the Australian Information Commissioner (OAIC), including the power to conduct a privacy performance assessment, accept an enforceable undertaking and, in the case of serious or repeated breaches, seek civil penalties. [...]
The new laws require businesses and Australian Government agencies to be more transparent about how they handle personal information. Entities need to have a clearly expressed and up to date privacy policy about the way they handle personal information. [...]"
(Source: OAIC, Press Release, 11 March 2014)

Pour plus de détails sur la législation australienne et sa réforme, voir notamment: