Protection des renseignements personnels et sécurité des données en temps de pandémie

Le 30 avril 2020, 9h40

(Available in English: Personal Information Protection and Data Security in a Pandemic)

Afin de limiter la propagation du coronavirus (COVID-19) de façon urgente, le gouvernement du Canada pourrait envisager des mesures exceptionnelles – dont certaines porteraient atteinte à la vie privée – comme l’utilisation de renseignements personnels et de mégadonnées pour en savoir plus sur le virus. De plus, la pandémie oblige un nombre anormalement élevé de personnes à travailler de la maison, ce qui accroît le risque à la sécurité et à la confidentialité des données. Dans un tel contexte, quelles sont les obligations des institutions fédérales et des organisations du secteur privé et comment la protection des renseignements personnels et la sécurité des données peuvent-elles être assurées en ce qui concerne le télétravail?

Obligations découlant de la législation fédérale en matière de protection de la vie privée

La législation fédérale en matière de protection de la vie privée est principalement constituée de la Loi sur la protection des renseignements personnels (LPRP), qui porte sur le traitement des renseignements personnels par les institutions fédérales, et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui cherche à protéger les renseignements personnels dans le secteur privé. La responsabilité de veiller au respect de ces lois incombe au commissaire à la protection de la vie privée du Canada, un agent du Parlement qui a pour mission de protéger et de promouvoir le droit à la vie privée.

Le 20 mars 2020, le Commissariat à la protection de la vie privée du Canada (CPVP) a publié un document d’orientation qui porte sur les obligations des organisations assujetties aux lois fédérales en matière de protection des renseignements personnels pendant la pandémie de la COVID-19. En vertu de ce document, le CPVP rappelle qu’en situation de crise sanitaire, les lois sur la protection des renseignements personnels ne font pas obstacle à une communication de renseignements appropriée. Le CPVP mentionne également que les lois sur la protection des renseignements personnels continuent de s’appliquer, sauf si des lois sur les mesures d’urgence n’en disposent autrement.

Le 17 avril 2020, le CPVP a publié un complément à son document d’orientation : un cadre pour l’évaluation des initiatives des institutions fédérales en réponse à la crise de la COVID-19 ayant une incidence importante sur la vie privée. Ce document énonce neuf principes clés de protection de la vie privée, dont la nécessité et la proportionnalité (c’est-à-dire que les mesures prises sont fondées sur des données probantes, qu’elles sont nécessaires pour la fin particulière déterminée et qu’elles n’ont pas une portée excessive), la transparence et la durée limitée des mesures en question.

La Loi sur la protection des renseignements personnels

L’article 4 de la LPRP prévoit que « [l]es seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités ». Toutefois, certaines exceptions permettent aux institutions fédérales de recueillir, d’utiliser ou de communiquer des renseignements personnels sans consentement.

Par exemple, l’alinéa 8(2)f) de la LPRP prévoit que la communication de renseignements personnels sans consentement est autorisée aux termes d’accords conclus d’une part entre le gouvernement du Canada et, d’autre part, le gouvernement d’une province ou d’un État étranger, une organisation internationale d’États ou certains conseils de Premières Nations, en vue de l’application des lois ou pour la tenue d’enquêtes. Le CPVP rappelle à cet égard que le gouvernement du Canada est partie à une entente multilatérale sur l’échange de renseignements par l’entremise du Réseau pancanadien de santé publique.

La Loi sur la protection des renseignements personnels et les documents électroniques

La LPRPDE s’applique à la collecte, l’utilisation et la communication de renseignements personnels dans le cadre d’activités commerciales menées par des organisations du secteur privé et des entreprises fédérales, ainsi qu’aux renseignements concernant des employés d’entreprises fédérales. La LPRPDE régit ces activités à l’échelon fédéral et dans les territoires, ainsi que dans les provinces qui n’ont pas adopté de loi « essentiellement similaire » à la LPRPDE. Elle s’applique également à toutes les entreprises qui mènent des activités au Canada et qui traitent des renseignements personnels franchissant les frontières provinciales ou canadiennes, sans égard à la province ou au territoire où elles sont situées.

Le paragraphe 5(3) de la LPRPDE autorise une organisation à recueillir, utiliser ou communiquer des renseignements personnels seulement « à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances ». Une organisation doit également informer un individu et obtenir son consentement valable pour recueillir, utiliser ou communiquer des renseignements personnels le concernant.

Cependant, certaines exceptions permettent à une organisation de recueillir, d’utiliser ou de communiquer des renseignements personnels sans consentement. Par exemple, en vertu de l’article 7 de la LPRPDE, une autorité de santé publique pourrait détenir une autorisation légale d’exiger la communication de renseignements personnels; ou une communication pourrait être faite à une institution gouvernementale par une organisation qui a des motifs raisonnables de croire que le renseignement communiqué est relié à une contravention du droit fédéral, provincial ou étranger. Le CPVP argue à cet égard qu’une organisation qui communiquerait au gouvernement le fait qu’un individu contrevient à une ordonnance de quarantaine serait couverte par cette exception.

Protection des renseignements personnels et cybersécurité dans le cadre du télétravail

Puisque l’implantation rapide d’un programme de télétravail expose inévitablement les organisations à des risques liés à la protection des renseignements personnels et à la cybersécurité, il a été recommandé aux organisations des secteurs public ou privé de prendre des mesures préventives afin d’atténuer ces risques. Par exemple, les employeurs devraient :

  • veiller à ce que l’accès à distance aux données d’une organisation par les employés se fasse de façon sécuritaire en s’assurant de sécuriser correctement les réseaux privés virtuels utilisés;
  • s’assurer que les employés protègent par un mot passe leur accès à tout appareil électronique utilisé pour le travail et qu’ils en activent le chiffrement;
  • améliorer la sensibilisation et l’éducation des employés en matière de cybersécurité et des menaces associées à la COVID-19 (p. ex., tentatives d’hameçonnage) afin qu’ils soient à l’affût des risques en ligne et qu’ils puissent prendre les précautions nécessaires dans le cadre du télétravail;
  • limiter la collecte de données, y compris de renseignements personnels, à ce qui est absolument nécessaire.

Dans un contexte de pandémie, la cybersécurité devient particulièrement importante vu la quantité importante de travail qui se fait en ligne à l’extérieur des lieux du travail. Des malfaiteurs peuvent tenter de prendre avantage de la situation en exploitant les vulnérabilités des systèmes informatiques tels qu’un réseau privé virtuel qui n’est pas à la fine pointe de la technologie ou un serveur au domicile d’un employé non sécuritaire.

La pandémie a également conduit plusieurs organisations à mettre en œuvre des façons novatrices de poursuivre leurs opérations, dont l’utilisation des nouvelles technologies. Des applications Web et des logiciels sont maintenant utilisés par plusieurs organisations pour faire des appels téléphoniques, tenir des réunions virtuelles, travailler de façon commune sur des documents collaboratifs en ligne et à plusieurs autres fins.

Toutefois, l’utilisation de ces technologies peut comporter certains risques en matière de protection des renseignements personnels et de cybersécurité. En effet, dans un contexte de pandémie, l’augmentation fulgurante du nombre d’utilisateurs de certaines plateformes technologiques a permis de mettre en lumière quelques-unes de leurs vulnérabilités en ce qui a trait à la confidentialité des échanges sur celles-ci et à la sécurité des données qui y circulent.

Afin d’aider les organisations et les citoyens canadiens à assurer leur sécurité en ligne en temps de pandémie, le Centre canadien pour la cybersécurité a publié un document offrant plusieurs conseils et renseignements sur divers sujets, dont le télétravail. Il a aussi publié une alerte qui énumère quelques facteurs à considérer pour l’utilisation sécuritaire de produits et services de vidéoconférence.

Il appert donc important pour les organisations qui doivent assurer la continuité de leurs opérations dans le contexte d’une pandémie, de le faire dans le respect des lois en matière de protection des renseignements personnels. Une attention particulière doit également être portée à la sécurité des données confidentielles échangées en ligne afin que celles-ci ne soient pas compromises dans le cadre du télétravail.

Comme l’affirme le CPVP, « [l]a protection de la vie privée ne se limite pas à une série de règles techniques et de règlements. Elle représente plutôt un impératif constant de préserver les droits fondamentaux de la personne et les valeurs démocratiques, même dans les situations exceptionnelles ».

Ressources supplémentaires :

Agence européenne de cybersécurité, Tips for Cybersecurity When Working From Home, 24 mars 2020 [en anglais seulement].

Centre canadien pour la cybersécurité, Pratiques exemplaires en cybersécurité pour la COVID-19, 13 mars 2020.

Chantal Bernier, Vie privée et gestion des pandémies: les balises juridiques, La Presse, 3 avril 2020.

Dentons, Privacy Law in the Context of Pandemics, 23 mars 2020 [en anglais seulement].

GibsonDunn, Privacy and Cybersecurity Issues Related to COVID-19, 20 mars 2020 [en anglais seulement].

McCarthy Tétrault, COVID-19 – Managing Privacy and Cyber Issues, 17 mars 2020 [en anglais seulement].

National Institute of Standards and Technologies, Telework Security Basics, 19 mars 2020 [en anglais seulement].

Osler, Défis en matière de confidentialité et de sécurité dans le sillage de la COVID-19, 19 mars 2020.

Auteurs : Alexandra Savoie et Maxime-Olivier Thibodeau, Bibliothèque du Parlement