Alors qu’il ne se passe pas un seul jour sans cyberincident, Me Jean-François De Rico nous a fait l’honneur d’intervenir à nouveau à la Conférence Forensik 2020. En 2019, il mettait en lumière le rôle et les responsabilités des dirigeants dans le domaine de la gestion et réponse aux incidents. Et pour cette deuxième édition, il a souhaité démystifier le terme de « préjudice grave » dans le cadre d’une brèche de sécurité portant atteinte aux renseignements personnels. Comment qualifier la notion de risque réel d’un préjudice grave découlant d’un incident de cybersécurité? Que se cache-t-il derrière cette notion? Quelles sont les obligations légales lorsque les renseignements personnels ont été compromis ou leur confidentialité a été compromise lors d’un incident?
C’est ce que nous avons essayé de savoir en invitant Me De Rico au micro du podcast INTRASEC, la chaîne cybersécurité de In Fidem.
Lors de la 1ère édition de la Conférence, tu avais mis l’accent sur les obligations des organisations face à des incidents de cybersécurité. Et cette année tu as été un peu plus loin. Le titre de ta présentation était : « la qualification du risque réel de préjudice grave découlant d’un incident ». Donc l’incident est arrivé, il y a des obligations, mais en fonction de la gravité de cet incident, il y a d’autres choses qu’il faut faire.
En effet, il y a clairement une filiation entre les deux. En 2019, on était dans le plus général. Cette année, on a tenté d’essayer de démystifier la terminologie qui est utilisée dans les dispositions de la Loi fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
L’obligation d’une organisation de déclarer un incident ou une atteinte à la confidentialité des renseignements personnels est déclenchée en vertu des dispositions de la loi par le constat que cette compromission due à un incident génère un risque réel de préjudice grave.
Mais il y a des critères derrière cette notion. Il faut donc utiliser des cas d’usage pour valider comment on est capable, sur un cas réel, de ne pas simplement dire qu’il y a tout le temps un risque de préjudice grave; c’était ça l’objet de la conférence.
Donc comment savoir si on fait face à un haut risque, un faible risque, puis que faut-il faire par la suite?
Il n’y a pas de précédents jurisprudentiels. Mais dans la loi, il y a une énumération de types de risque qui sont susceptibles de se matérialiser à la suite d’un incident de sécurité, d’une atteinte à la confidentialité.
L’énumération comporte :
- l’humiliation,
- les dommages à ma réputation,
- la perte financière,
- le vol d’identité…
Alors nous sommes aussi en train d’identifier les catégories de préjudice susceptibles de découler.
Nous travaillons aussi sur des critères d’appréciation comme le degré de sensibilité de l’information d’une part, et implicitement ce qu’on vise, c’est aussi le degré de sensibilité lui-même. Mais la corrélation repose sur l’importance du risque qui découle de sa compromission.
Donc plus un renseignement est sensible, plus la probabilité de sa manipulation par quelqu’un de mal intentionné générera un préjudice important.
Après, c’est correct en théorie, mais comment on l’applique?
Je veux tout de même souligner que l’année dernière à la même date on avait des dispositions seulement émanant du régime fédéral donc que la loi sur la protection des renseignements personnels et les documents électroniques, qui ne s’applique généralement pas au Québec. En fait, elle ne s’applique au Québec qu’à l’égard des entreprises de compétences fédérales.
Aujourd’hui, il y a le projet de loi 64 qui propose une série d’amendements aux principales lois qui encadrent la protection des renseignements personnels au Québec. Et le législateur propose des dispositions avec une terminologie légèrement différente.
On parle de préjudice sérieux et sans énoncé nécessairement une énumération différente, qui va référer à la sensibilité des renseignements et les conséquences appréhendées de son utilisation et probabilité.
Pour l’œil du juriste qui analyse chaque mot, on voit alors que le fédéral intègre la notion de conséquence implicitement dans le degré de sensibilité, alors qu’au Québec on prend la peine de le nommer distinctement.
Donc en résumé, avant de l’appliquer, il faut déterminer c’est quoi la notion d’atteinte. L’atteinte, c’est tout ce qui entraîne un accès ou une communication non autorisée ou une perte de renseignements personnels qui découle d’un manquement à des mesures de sécurité. Et il y a la notion de préjudice grave sérieux dont on vient de traiter et les facteurs d’appréciation.
Il y a trois grandes variables dont il faut tenir compte pour être sûr qu’on fait les choses comme il le faut.
Au fédéral, le commissariat s’est aussi engagé sur des facteurs d’appréciation. Donc quels sont les éléments circonstanciels qui peuvent venir éclairer les parties dans de la cadre de l’appréciation du risque? Il y a:
- la durée de temps entre le moment où l’incident et le moment où il est constaté
- et sommes-nous capables d’identifier les acteurs et de leur attribuer une intention malveillante?
Ensuite, il y a bien évidemment, la nature et le type. Ça c’est un peu redondant parce que le type de renseignement personnel est nécessaire pour évaluer sa sensibilité.
Mais on précise qu’il faut apprécier la possibilité qu’un renseignement personnel, qui pris seul, n’a peut-être pas une incidence significative sur le risque. Mais il peut être croisé avec d’autres types de données pour parvenir à un portrait plus global.
Enfin, est-ce qu’il s’agit de renseignements ou de documents qui au moment de l’atteinte faisaient l’objet d’un chiffrement?
En effet, l’anonymisation d’une information qui était initialement un renseignement personnel peut faire en sorte qu’on écarte le caractère « renseignement personnel ».
Mais si cette information est chiffrée, théoriquement, dans un cas on ne peut plus l’associer à quelqu’un, mais dans l’autre, on ne peut plus nécessairement y accéder. Alors elle serait rendue invalide ou est-ce que la loi considère que ce n’est pas nécessairement le cas parce qu’on peut la déchiffrer?
Excellent point, ça devient un facteur d’appréciation parce que si on a un protocole de chiffrement qui est au goût du jour, on va pouvoir considérer que le risque est modéré ou faible parce que le chiffrement est adéquat.
On sait aujourd’hui que les ressources informatiques quantiques ne sont pas à la portée du premier venu, puisque normalement le chiffrement de certains types tient encore.
Donc pour répondre à votre question, on va considérer qu’il y a quand même un incident qui affecte des renseignements personnels. Mais dans la plupart des cas, selon les paramètres dont on discute maintenant, selon le risque d’utilisation malveillante, le risque est tellement restreint qu’il n’y a pas de préjudice grave.
Donc la conséquence réelle pour l’organisation, si je me réfère aux obligations de notification, c’est que dans un cas, elle aurait des obligations de notification en lien dès que son réseau a été pénétré ou à cause de la configuration de ses systèmes. Mais elle n’aurait pas nécessairement besoin de notifier le grand public parce que les gens ne pourraient pas utiliser ces données-là.
C’est exact. La nuance que vous faites dans votre commentaire est importante parce que selon le type d’industrie où l’organisation évolue, il est possible qu’il y ait la présence d’un risque de préjudice grave. En effet, certaines organisations ont l’obligation, que ce soit contractuelle ou réglementaire ou normative, d’aviser par exemple l’autorité des marchés financiers si elles y sont assujetties.
Mais il y a d’autres sources d’obligations qui sont susceptibles d’entrer en ligne de compte.
Par exemple, une organisation qui fait affaire avec des fournisseurs de services en technologie, doit être avisée de tout incident, surtout si elle leur confie des renseignements personnels. Si ce tiers fait l’objet d’un incident ou d’une attaque qui entraîne une compromission ou une atteinte à la confidentialité, il faut le savoir. Il est donc déterminant à notre époque d’être capable de valider de façon continue qu’un fournisseur va maintenir une posture de sécurité qui va être adéquate pendant toute la durée du contrat.
Quelle est l’intention du législateur au Québec avec ce projet de loi 64?
Il y a une forte pression d’harmonisation de façon générale avec le règlement général sur la protection des données, mais aussi avec la loi fédérale.
La loi fédérale a introduit cette obligation à l’automne 2018. Depuis 2011, la commission d’accès à l’information (CAI) dit au Parlement québécois « vous devriez modifier la loi pour introduire une telle obligation, ça existe dans beaucoup d’États américains ». Aujourd’hui, 48 États américains ont des dispositions de ce genre pour la notification, alors il y a un effet de comparaison qui drive ce changement. C’est-à-dire « les autres le font, alors pourquoi nous ne le faisons pas? »
Et après, il y a un effet plus pragmatique. Par exemple, la raison juridique est si on écarte le débat constitutionnel, la loi fédérale prévoit l’application dans toutes les provinces canadiennes sauf celles qui ont adopté une loi d’application générale qui porte sur la protection des renseignements personnels qui est similaire ou équivalente.
Or la réglementation européenne sur la protection des renseignements personnels désormais veut s’assurer qu’il y a une adéquation entre le régime mis de l’avant par le règlement général de protection des données et la loi applicable dans une juridiction où on transfère des données.
Donc si on veut maintenir la capacité des organisations de transférer des données de juridiction en juridiction, il faut être capable de montrer cette adéquation-là et il faut harmoniser nos dispositions. Par exemple, on pense aux entreprises multinationales ou fournisseurs de services TI qui veulent desservir une clientèle qui n’est pas limitée à leur juridiction,
Cela signifie-t-il qu’il n’y avait pas en place? Est-ce qu’on légifère parce qu’on n’a pas le choix à cause de ce qu’il se passe dans d’autres pays?
On considère que l’obligation de minimiser le préjudice, qui s’impose à toute personne (morale ou physique), est une obligation qui s’applique en tout temps.
Quand on subit ou contribue à un préjudice, par notre faute ou par la faute d’un tiers, on a l’obligation de faire en sorte que la perte, les dommages, le préjudice qui en découlent, soient le plus minimisés, si on a le moyen de le faire.
Donc aujourd’hui, quand une organisation au Québec est victime d’une attaque, qui entraîne une atteinte à la confidentialité et qui génère un risque de préjudice, selon l’entrée en vigueur de la loi, a l’obligation en vertu de ces principes-là de s’assurer qu’elle peut poser un geste qui atténue le risque et qu’elle le fasse. Parce qu’elle pourrait se faire sanctionner par un tribunal.
Et il ne faut jamais négliger le risque d’atteinte à la réputation si on constate que l’organisation le savait et elle n’a pas avisé.
Même si une organisation met en place des mesures de sécurité, qu’elle reconnaît la valeur des informations qu’elle détient, elle n’est jamais à l’abri d’une attaque qui peut avoir du succès.
Donc une compagnie qui ne fait rien, qui est négligente, les conséquences sont plus graves.
Le projet de loi prévoit des sanctions significatives, incluant pour un manquement à l’obligation de notifier.
En résumé, on en revient à la première conférence de 2019, la loi vise à responsabiliser les organisations quant à l’utilisation, la manipulation et la protection de ces renseignements.
Exact. On peut toujours atténuer un risque en faisant le nécessaire.
Les personnes de manière générale ne comprennent pas la nature de la sensibilité des informations qu’elles traitent?
Je pense que la compréhension de comment une information peut être utilisée de façon malveillante n’est pas maîtrisée.
Il y a aussi le réflexe de « cela ne m’arrivera pas ». On pense qu’on n’est pas assez important.
Mais il faut savoir qu’il y a une grosse proportion des millions d’attaques quotidiennes qui sont automatisées, robotisées et qui sont lancées vers des points d’accès sans savoir ce qu’il va attraper.
Par exemple, Emotet quand il se balade pour chercher des informations bancaires, il n’est pas destiné à une adresse spécifique.
Au regard de cette clarification des normes qui s’en vient, que devrait faire une organisation pour s’assurer de respecter les nouvelles règles?
Dans les obligations, il va d’abord y avoir une obligation spécifique d’être capable de démontrer qu’on a fait une analyse des impacts sur la protection des renseignements personnels dans le cadre de tout projet de développement ou d’intégration de systèmes qui a une incidence sur la gestion de l’information. Par exemple : toute transformation d’un processus papier par un processus électronique.
On va devoir évaluer dans n’importe quel projet de transformation numérique comment on va s’assurer de maintenir la confidentialité des données.
Il y a malheureusement de nombreuses organisations qui ne font pas attention à comment leurs fournisseurs ou sous-traitants gèrent l’information ou les renseignements qu’ils sont susceptibles de leur confier; sous couvert de dire qu’ils se disent que leurs partenaires sont responsables et vont bien s’occuper des renseignements qu’on va leur confier.
Autrement dit, en droit, c’est toujours la personne qui recueille qui est responsable. Indépendamment de la capacité de transférer ce risque-là. Souvent les gens vont penser que lorsqu’ils font affaire avec un tiers, ils vont transférer le risque, mais le risque juridique n’est pas transféré ; le risque est encore sur les épaules de celui qui a recueilli.
Donc pour le gérer, il faut s’assurer que le fournisseur ait des mesures en place, ait des certifications, etc. Je ne dis pas que ce sont des choses qui n’existent pas, mais il y a clairement du travail à faire dans ce domaine.
Pour résumer, s’il y a deux choses que les organisations devraient faire : premièrement, c’est de s’assurer de la sécurité des données et la gestion de la confidentialité car il faudra démontrer qu’on a des processus robustes en place, si jamais il y a des problèmes. Deuxièmement, ne pas juste limiter cette évaluation à nos systèmes, mais aussi à ceux de nos partenaires car les entreprises restent responsables de la protection des données.
Bien dit. Absolument.
Si vous deviez souhaiter quelque chose pour la prochaine année, en termes de cybersécurité, notamment avec le travail à distance qui s’est démocratisé, ce serait quoi?
J’ai deux idées là-dessus.
La première, c’est que dans la foulée du projet de loi 64, une des composantes est que toutes les organisations détiennent des informations personnelles. Dans certains cas, c’est leur logique d’affaires, dans d’autres, ce sont seulement celles de leurs employés, il va falloir selon moi sensibiliser collectivement les PME. Il faudra les aider à être en conformité.
Il faudra s’assurer qu’on va être capable d’accompagner les entreprises dans cette transformation.
Et donc si j’ai un souhait, c’est qu’on donne des moyens à des acteurs jouant un rôle important dans ce domaine, de pouvoir exercer adéquatement leurs missions.
Exemples : publier des guides, des check-lists, des grilles de contrôle, etc.
L’autre idée qui est d’ailleurs un processus en cours, c’est continuer d’investir dans l’amélioration des postures en cybersécurité et la sensibilisation. Il faut que ça continue. Pour le reste, il faut continuer de s’éduquer collectivement. Bref, il faut poursuivre nos efforts.
Donc autrement dit, Il faut plus de clarté et plus d’accompagnement, surtout quand on est une PME et qu’on n’a pas les reins aussi solides que des grandes organisations. Merci beaucoup d’avoir pris le temps de discuter de ces changements législatifs qui s’en viennent et des obligations nouvelles qui en découlent pour nos PMEs québécoises.
Merci pour l’accueil. Ce sera toujours un plaisir de répéter l’expérience.
Si vous avez besoin d’accompagnement pour renforcer votre stratégie de protection des données et de renseignements personnels, contactez-nous!
Découvrez l’intégralité de notre épisode avec Me De Rico (en français) sur Ausha, Spotify, Apple Podcasts, Google Podcasts et Podcast Addict.