Le 1er novembre dernier, Postes Canada a annoncé à la Société Ontarienne du Cannabis (« SOC ») qu’au moins une personne avait eu accès aux informations de livraison de 4500 de ses clientsà l’aide de numéros de références entrés directement sur le site internet du service postal.
La nature des renseignements personnels consultés est assez sensible puisqu’elle concernerait entre autres le nom des clients, leur code postal ainsi que la date de réception des commandes passées. La consultation non autorisée de ces informations prend une dimension encore plus critique eu égard au dommage réputationnel qui pourrait résulter d’un usage malicieux de telles données. En effet, en dépit de sa récente légalisation, la consommation de cannabis n’est pas encore tout à fait entrée dans les mœurs canadiennes et présente un caractère discriminant notamment dans le domaine de la recherche d’emploi.
Si l’on peut déplorer un tel incident, on ne pourra en revanche pas reprocher à la SOC de ne pas s’être acquittée de ses obligations en matière de divulgation de brèche de sécurité qui découlent des nouvelles dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).On appréciera en effet la célérité dont a fait preuve la SOC après avoir pris connaissance du problème :
Conformément aux nouveaux articles 10.1 (7)et 10.1 (8)de la LPRPDE, elle a tout d’abord su identifier le risque réel de préjudice grave auquel une telle brèche de sécurité exposait les personnes concernées. Elle les a ensuite avisées d’une telle vulnérabilité, directement et sans tarder,en vertu des articles 10.1 (3), 10.1 (5)et 10.1 (6)de la même loi. Parallèlement, elle a également avisé le commissaire à l’information et à la protection de la vie privée de l’Ontario, Brian Beamish qui, tout en félicitant la SOC pour sa diligence et sa transparence, a par ailleurs estimé que c’était à son homologue fédéral de connaître de l’affairepuisque la brèche a été découverte dans les systèmes de Postes Canada.
La SOC fait donc figure de bon élève au regard de l’application des nouvelles exigences fédérales en matière de divulgation et l’on ne peut qu’être enthousiastes à l’idée que de telles dispositions aient été si vite absorbées par les organisations.
Cela étant, il convient de mesurer notre optimisme puisque le corpus de normes entré en vigueur le 1ernovembre dernier n’est pas respecté de façon égale par toutes les organisations. En l’espèce, si Postes Canada a bien notifié le commissaire fédéral à la protection de la vie privéeet la SCO de l’incident conformément aux articles 10.1(1)et 10.2(1)de la LPRPDE, la société ne s’est en revanche toujours pas acquittée de son obligation d’informer les personnes concernées.
On pourra également se montrer perplexe quant aux suites que le commissariat fédéral voudra bien donner à cette affaire, alors même que Daniel Therrien déplorait le mois dernier un manque de ressources et un pouvoir trop limité pour mener à bien la mission qui lui est dévolue par la LPRPDE. Il estime en effet que les effectifs du bureau sont trop limités pour analyser l’ensemble du flot de signalements qui risque de lui être transmis à partir du 1ernovembre. Il suggère par ailleurs un renforcement des pouvoirs du commissariat afin de veiller à un meilleur respect de la protection des renseignements personnels par les organisations, la loi actuelle ne lui permettant pas d’adopter de sanctions à leur encontre.
Dès lors, gageons que les nouvelles dispositions entrées en vigueur au début du mois de novembre ne soient que les prémices d’une volonté encore plus forte du législateur fédéral de protéger la vie privée des citoyens canadiens, et que la dynamique entreprise dépassera le domaine des bonnes intentions.
Commentaires