Auteurs(trice)
Associé, Litiges, Montréal
Associé, Litiges, Toronto
Associé, Litiges, Calgary
Associée, Litiges, Montréal
Associé, Litiges, Toronto
Associé, Litiges et Insolvabilité et restructuration, Montréal
Table des matières
- Conclusions en vertu de la LPRPDE n° 2024-002, Re, Commissariat à la protection de la vie privée du Canada
- A Medical Imaging Clinic, Re, Commissaire à l’information et à la protection de la vie privée de l’Ontario
- Vankoughtnett, Re, Commissaire à l’information et à la protection de la vie privée de la Saskatchewan
Revue de la jurisprudence sur la protection de la vie privée
Conclusions en vertu de la LPRPDE n° 2024-002, Re, Commissariat à la protection de la vie privée du Canada
Faits
Un client de la société de télésurveillance Brinks Home (Brinks) a déposé une plainte auprès du Commissariat à la protection de la vie privée du Canada (CPVP) après avoir consulté par inadvertance les renseignements personnels d’autres clients sur le portail en ligne de Brinks. Peu après, Brinks a modifié les paramètres du portail en ligne pour empêcher l’affichage de ces renseignements. Le CPVP a mené une enquête pour déterminer si Brinks avait mis en place des mesures de sécurité adéquates et si elle s’était conformée aux exigences de la LPRPDE en matière de signalement des atteintes à la vie privée.
Décision
Le CPVP a établi que Brinks n’avait pas su protéger adéquatement les renseignements personnels de ses clients contre des accès non autorisés, mais qu’elle avait par la suite mis en place des mesures techniques et des règles de procédure pour éviter que de tels incidents se reproduisent. Enfin, Brinks a vendu l’ensemble des comptes de ses clients. Pour ces raisons, le CPVP a estimé que l’élément de la plainte relatif à la protection des données était fondé et résolu. Pour déterminer si Brinks s’est conformée aux exigences en matière de signalement des atteintes à la vie privée, le CPVP a conclu que les renseignements personnels en cause pouvaient être considérés comme sensibles, mais que la probabilité d’une mauvaise utilisation était faible. Le CPVP a établi que l’atteinte ne posait pas un risque réel de préjudice grave et que Brinks n’était pas tenue d’en aviser les individus touchés ou de la signaler au CPVP.
Point principal à retenir
Cette affaire souligne l’importance de protéger adéquatement les renseignements personnels et de prendre des mesures actives permettant d’atténuer tout préjudice potentiel en cas d’atteinte à la vie privée.
A Medical Imaging Clinic, Re, Commissaire à l’information et à la protection de la vie privée de l’Ontario
Lire les détails de l’affaire (disponible en anglais seulement)
Faits
Une clinique d’imagerie médicale a informé le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) qu’elle avait été victime d’une attaque par rançongiciel. La clinique a payé la rançon en échange d’une clé de chiffrement qui lui a permis de récupérer tous les fichiers touchés. Le CIPVP a mené une enquête pour déterminer si la clinique avait pris des mesures raisonnables pour protéger les renseignements personnels sur la santé et si un examen était justifié en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé.
Décision
Le CIPVP a établi que la clinique avait déployé des efforts suffisants pour déterminer l’ampleur de la violation, qui comprenait des renseignements sur les patients et les employés, ainsi que des codes de facturation. Le CIPVP a également établi que, en affichant un avis dans l’entrée de la clinique et au bureau d’information, de même qu’un avis « surgissant » (« pop-up ») sur son site Web, la clinique avait fourni un avis approprié. En outre, la clinique a envoyé des avis à plus de 14 000 médecins traitants, ainsi qu’à ses employés et à ses partenaires de santé. En outre, pour réduire au minimum les risques qu’une telle violation se reproduise, la clinique a pris un certain nombre de mesures, notamment les suivantes : elle a revu sa politique en matière de mots de passe, elle s’est dotée d’une politique de repérage et de suppression des comptes d’utilisateurs dormants, et elle a modifié son approche en matière de sauvegardes afin de s’assurer de toujours conserver hors ligne une sauvegarde impossible à compromettre en cas de violation ultérieure. Sur la base de ces constatations, le CIPVP a estimé qu’un examen n’était pas justifié.
Point principal à retenir
L’affaire démontre que les victimes d’attaques de rançongiciel qui fournissent un avis approprié et qui prennent des mesures correctives adéquates permettant de réduire au minimum les risques de violation future peuvent éviter ou réduire les examens du CIPVP.
Vankoughtnett, Re, Commissaire à l’information et à la protection de la vie privée de la Saskatchewan
Lire les détails de l’affaire (disponible en anglais seulement)
Faits
Quatre dentistes exploitaient une clinique de dentisterie générale en tant qu’entreprise individuelle aux termes d’un accord de partage des coûts. L’un des quatre dentistes s’est retiré de l’accord, tout en emportant avec lui une copie de l’ensemble de la base de données des patients de la clinique. Les dentistes restants ont contacté le commissaire à l’information et à la protection de la vie privée (CIPVP) de la Saskatchewan pour lui faire part de leurs inquiétudes. Le CIPVP, jugeant qu’il était compétent pour enquêter sur l’affaire, a examiné s’il y avait eu des atteintes à la vie privée et si les dentistes restants y avaient réagi de manière adéquate.
Décision
Le CIPVP a établi que, en vertu de la loi de la Saskatchewan intitulée The Health Information Protection Act (HIPA), la collecte par le dentiste sortant de l’ensemble de la base de données des patients n’était pas autorisée et constituait une atteinte à la vie privée. Le CIPVP a constaté que la cause première de l’atteinte à la vie privée était l’absence de mesures techniques de protection des renseignements personnels, car le dentiste sortant n’aurait pas dû être en mesure d’accéder aux renseignements des patients des dentistes restants. Pour ces raisons, le CIPVP a estimé que les dentistes restants avaient manqué à leur obligation de protéger les renseignements personnels sur la santé des patients en vertu de la HIPA. Il a constaté par ailleurs que les dentistes restants avaient pris des mesures raisonnables pour limiter cette atteinte en la signalant au CIPVP et en veillant à ce que le dentiste sortant ne puisse plus accéder à la base de données, mais qu’ils n’avaient pas pris les mesures nécessaires pour aviser les individus touchés. Le CIPVP a aussi jugé que la version actualisée de la politique de confidentialité adoptée par les dentistes restants dans l’accord de partage des coûts était inadéquate, car elle confondait les exigences de la LPRPDE avec celles de la HIPA.
Point principal à retenir
Cette affaire montre à quel point les autorités de réglementation attendent des professionnels de la santé qu’ils veillent à protéger de manière adéquate les renseignements personnels sur la santé des patients et à empêcher tout accès non autorisé.
