Photo by Samuel Zeller on Unsplash

Obligation de divulgation d’intrusion informatique chez une entreprise : oui, même pour de simples coordonnées, de dire un commissaire

Dans une décision récente, un commissaire à la protection de la vie privée oblige Uber à aviser les individus dont le nom et l’adresse de courriel ont été piratés. Selon cette décision, le piratage de données de base comme celles-ci suffit pour considérer qu’il existe un réel risque de préjudice sérieux pour les personnes concernées.

En vertu de la loi albertaine nommée Personal Information Protection Act (« PIPA »), les entreprises doivent avertir les individus quand la sécurité d’une base de données contenant leurs renseignements personnels a été violée. Cela s’avère d’ailleurs équivalant à ce qui existe au niveau fédéral, depuis la modification de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE », ou « PIPEDA », de son acronyme en anglais) afin d’y ajouter des dispositions touchant l’exploitation de failles de sécurité. Bien que ces dispositions ne soient pas encore en vigueur, cela ne saurait tarder.

Selon ce que précisent la LPRPDE et la PIPA à ce sujet, un avertissement aux usagers s’impose seulement quand un certain seuil est atteint. On n’a notamment pas à le faire quand l’incident de sécurité qui est survenu est insignifiant ou de toute façon peu susceptible d’entraîner un problème réel pour les individus visés. Au contraire, s’il y a un risque réel de préjudice sérieux (incluant un risque de fraude), on doit aviser les individus, notamment afin de leur permettre les mesures qui s’imposent.

La décision albertaine dont il est ici question se prononce justement sur ce seuil, en précisant qu’en Alberta, on considèrera dorénavant que le seuil est atteint quand on est en présence ne serait-ce que d’une possibilité que les individus (dont les données de base ont été compromises) soient visés par des tentatives d’hameçonnage, en les ciblant grâce à de l’information chapardée. Ici, l’obligation d’Uber de divulguer l’intrusion a donc été déclenchée, non pas par le fait que l’information visée était nécessairement très sensible, mais plutôt parce que même de l’information de base peut en principe être utilisée ensuite dans le cadre d’une campagne d’hameçonnage contre ces individus. Ce faisant, l’entreprise victime du piratage en question doit aviser les usagers touchés.

Il s’agit là d’un premier exemple de la façon dont le concept de « risque réel de préjudice sérieux » pourra être interprété au Canada, quand on parle de failles de sécurité et de renseignements personnels. Selon cette décision, la simple possibilité de tentatives éventuelles d’hameçonnage peut obliger une entreprise à aviser tous les individus touchés parmi sa base de données (que leurs données sont à risque), et ce, même si les renseignements chapardés incluaient des renseignements relativement banals, tels le nom, le numéro de téléphone cellulaire et l’adresse de courriel. Pour le commissaire ici, comme de tels renseignements pourraient être utilisés (en combinaison avec d’autres renseignements faciles à obtenir en ligne) pour faciliter le vol d’identité ou la fraude, il y a un risque réel de préjudice non négligeable pour ces individus.

Cette décision vient donc préciser que le risque de préjudice dont parle la loi n’aurait pas à être directement causé par l’intrusion informatique en question, mais qu’il pourrait simplement découler indirectement de celle-ci (suite à d’autres agissements criminels). C’est évidemment là une interprétation susceptible d’élargir passablement la gamme des situations dans lesquelles une entreprise sera obligée d’annoncer ses problèmes de sécurité à ses usagers.

Uber considèrerait faire une demande de révision de la décision du commissaire auprès des tribunaux.

Il sera intéressant de voir, une fois que seront en vigueur les dispositions équivalentes de la LPRPDE, comment le commissaire fédéral et les tribunaux, eux, se prononceront sur cette question.