Rapport quant aux lacunes du gouvernement fédéral en matière de sécurité des données des Canadiens

Notre commissaire national, Daniel Therrien, publiait cette semaine son rapport au Parlement, pour l’année 2015, sur l’état de la situation de la vie privée au sein de l’administration fédérale.

On apprend notamment dans ce rapport qu’il y a eu une augmentation du nombre d’incidents de sécurité rapportés par des organismes de la fonction publique fédérale, incluant une prédominance des cas de divulgation accidentelle de renseignements de citoyens. En fait, ce serait près du trois quarts (oui, 3/4) des incidents rapportés qui seraient liés à des atteintes par inadvertance à la sécurité des données.

De ces cas, semble qu’une portion non négligeable touche les appareils et supports informatiques égarés ou perdus, ce qui amène le commissaire à faire un certain nombre de recommandations au gouvernement. Comme dans l’entreprise privée, la portabilité inhérente à la technologie actuelle (et l’adoption généralisée des dispositifs de stockage portables) comporte une part de risque pour les renseignements de tiers ainsi transportés d’un endroit à l’autre et, donc, susceptibles de perte ou de vol une fois à l’extérieur.

On rapporte aussi un petit nombre (13% des incidents) d’accès non autorisés. Tout comme au privé les cas d’intrusions informatiques liées à la vulnérabilité de réseaux et/ou des cas de défaillances technologiques peuvent aussi résulter en la divulgation non autorisée de renseignements personnels de Canadiens à des tiers. La fréquence de ce phénomène semble néanmoins de beaucoup inférieure au nombre de cas de divulgation accidentelle par des fonctionnaires.

À titre informatif, depuis cette année, les organismes gouvernementaux fédéraux doivent divulguer au Commissariat leurs incidents d’atteinte à la sécurité et aux données, à l’instar de ce qui sera bientôt requis des entreprises en vertu de la LPRPDE (PIPEDA).

De dire le commissaire : « Il y a toutefois encore grandement matière à amélioration, comme le démontrent les plus de 250 atteintes déclarées au Commissariat ».

Lire le rapport du Commissariat à la protection de la vie privée du Canada.