Dix conseils pour réduire le risque d`atteinte à la vie privée

Dix conseils pour réduire le
risque d’atteinte à la vie privée
Les atteintes à la vie privée sont devenues monnaie courante au Canada. En effet, il est rare qu’il se passe une
semaine sans qu’une atteinte soit signalée par une entreprise ou par une source externe, comme un blogueur
spécialisé dans les questions de sécurité. Outre les répercussions pour les personnes touchées par ces
incidents, les atteintes peuvent avoir des conséquences importantes et à long terme pour les organisations,
notamment en raison de la diminution de la confiance des consommateurs.
Le présent document s’appuie sur les efforts déployés par le Commissariat à la protection de la vie privée pour
venir en aide aux organisations qui ont subi des atteintes. Il vise à donner aux organisations des
renseignements sur certaines étapes cruciales à suivre afin de réduire la probabilité d’atteinte touchant les
renseignements personnels de leurs clients.
Sachez à quelles menaces vous vous exposez
1. Prenez connaissance des renseignements personnels dont vous disposez, de l’endroit où ils se trouvent et
de ce que vous faites avec ceux-ci. Les inventaires des données et les descriptions des processus aident à
connaître les renseignements personnels que vous devez protéger, ainsi que le moment et l’endroit où vous
devez les protéger. Quand et dans quels contextes recueillez-vous des renseignements personnels? Où cette
information est-elle acheminée? Quelles personnes peuvent y accéder et que font-elles avec celle-ci? Vous
devez connaître vos données pour pouvoir les protéger!
2. Prenez connaissance de vos vulnérabilités. Réalisez des évaluations du risque et de la vulnérabilité et/ou
des essais de pénétration au sein de votre organisation, afin de cerner les menaces pour la vie privée. Ne vous
concentrez pas uniquement sur les vulnérabilités techniques. Est-ce que des tiers recueillent des
renseignements personnels pour votre compte sans que des mesures de sécurité adéquates aient été mises
en place? Est-ce que vous utilisez des formulaires de demande papier, qui sont transférés à un lieu central (en
cas de perte, vous n’aurez aucune façon de déterminer quelles personnes sont touchées et encore moins de
les aviser)? Si vous mettez à niveau vos systèmes, est-ce que les anciens systèmes et bases de données
demeurent actifs, sans surveillance et avec des failles non corrigées? Le Commissariat a observé des atteintes
découlant de chacun de ces scénarios. Déterminez quels sont les points faibles de votre organisation avant
qu’une atteinte ne le fasse pour vous!
3. Connaissez votre industrie. Soyez au courant des atteintes qui ont frappé votre industrie. Les pirates
utilisent souvent les mêmes tactiques pour attaquer plusieurs organisations. Portez attention aux alertes et
aux autres renseignements transmis par votre association industrielle. Peu importe votre source d’information
concernant votre secteur d’activité, ne soyez pas la prochaine cible vulnérable aux atteintes!
__________________________________________________________________________________________________________
30, rue Victoria, 1er étage, Gatineau (Québec) K1A 1H3 • Sans frais : 1-800-282-1376 • Télécopieur : (819) 994-5424 • ATS : (819) 994-6591
www.priv.gc.ca • Suivez-nous sur Twitter : @priveeprivacy
1
Ne songez pas uniquement aux pirates
4. Cryptez les ordinateurs portatifs, les clés USB et les autres dispositifs portatifs. Les organisations se
concentrent souvent sur les atteintes à la vie privée provoquées par des pirates, mais, ce faisant, elles ne
tiennent pas compte d’autres menaces importantes. Le Commissariat a observé que possiblement le type le
plus courant d’atteinte pouvant être prévenu découle de la perte ou du vol d’ordinateurs portatifs, de clés
USB et d’autres dispositifs portatifs non cryptés. Dans bon nombre de ces incidents, l’utilisation d’un cryptage
suffisamment solide aurait pu transformer une atteinte à la vie privée qui a fait la une des médias en un
problème mineur.
5. Limitez les renseignements personnels que vous recueillez, ainsi que ceux que vous conservez. Vous devez
savoir pour quelle raison vous recueillez chaque renseignement personnel et aussi pourquoi vous les
conservez. Dans la mesure du possible, ne recueillez pas de renseignements personnels. Par exemple, il n’est
habituellement pas nécessaire de prendre en note le numéro inscrit sur la carte d’identité d’une personne
pour confirmer son identité; il suffit seulement d’y jeter un coup d’oeil attentif. En outre, si des
renseignements personnels ne sont recueillis qu’à des fins limitées, éliminez-les en toute sécurité une fois
qu’ils ont été utilisés à ces fins. N’oubliez pas : vous ne pouvez pas perdre quelque chose que vous n’avez pas!
6. Ne négligez pas l’étape de la fin de vie des renseignements personnels. Vous devez protéger les
renseignements personnels pendant toute la durée de leur cycle de vie, y compris à la toute fin de celui-ci,
même s’il s’agit d’une étape qui est souvent négligée. Définissez clairement vos politiques et vos procédures
en ce qui a trait à la destruction sécuritaire des renseignements personnels et veillez à ce qu’elles soient
respectées 1. Le Commissariat a observé des cas d’atteinte découlant d’une situation où des documents
avaient été laissés sur place lors d’un déménagement ou mis au rebut, ou encore du fait que des
renseignements n’avaient pas correctement été supprimés des appareils électroniques mis au rebut ou
envoyés au recyclage. Tel un héros de film d’action, les renseignements personnels sont tenaces : souvent, ils
survivent et réapparaissent si le processus de destruction n’est pas mené à bien comme il se doit.
7. Formez vos employés. Les politiques ne sont efficaces que si les personnes responsables de leur mise en
œuvre et de leur respect sont au courant de leur contenu, de leur raison d’être et des conséquences
applicables s’ils ne s’acquittent pas de leurs responsabilités. Vous devriez avoir des programmes permanents
de formation sur la vie privée et la sécurité qui vont bien au-delà d’exercices consistant à cocher des cases. Les
employés qui comprennent bien leurs rôles et leurs responsabilités quant à la protection des renseignements
personnels sont sans doute une des meilleures défenses d’une organisation contre les atteintes à la vie privée.
8. Restreignez et surveillez l’accès aux renseignements personnels. Les employés ne devraient avoir accès
qu’aux renseignements personnels qu’ils ont besoin de connaître, surtout si ces renseignements sont de
nature délicate. Cela vous aidera à vous assurer qu’ils ne soient pas la cause, accidentellement ou
intentionnellement, d’une atteinte à la vie privée. En outre, des registres d’accès faisant l’objet d’une
surveillance peuvent permettre de repérer les comportements inusités et peut-être de découvrir l’existence
d’une atteinte avant qu’elle n’ait fait trop de dommages, voir avant même qu’elle ne survienne. N’imposez pas
à vos employés un fardeau d’information supérieur à ce dont ils ont besoin pour faire leur travail.
__________________________________________________________________________________________________________
30, rue Victoria, 1er étage, Gatineau (Québec) K1A 1H3 • Sans frais : 1-800-282-1376 • Télécopieur : (819) 994-5424 • ATS : (819) 994-6591
www.priv.gc.ca • Suivez-nous sur Twitter : @priveeprivacy
2
Mais n’oubliez pas non plus les pirates!
9. Munissez-vous de logiciels et de mesures de protection, et tenez-les à jour. C’est le b.a.-ba de la sécurité :
si vous ne vous protégez pas contre les vulnérabilités connues, vous augmentez le risque d’une atteinte.
Mettez en place des processus systématiques et étayés afin que les correctifs liés à la sécurité soient appliqués
au bon moment et que les logiciels qui ne sont plus utilisés soient supprimés de votre système. En outre,
veillez à ce que les définitions des virus et des maliciels associées à vos logiciels antivirus et antimaliciels soient
à jour en autorisant des mises à jour périodiques. Soyez à la fine pointe de la technologie, à l’instar de vos
agresseurs.
10. Installez des systèmes de détection et de prévention des intrusions, et surveillez-les. Une organisation
doit d’abord prévenir les intrusions et doit donc se munir de systèmes pour ce faire. Toutefois, même si vous
avez les meilleures protections possibles, votre système peut faire l’objet d’une atteinte. Les systèmes de
détection des intrusions, les pare-feux et les registres de vérification peuvent vous permettre de repérer les
atteintes à la vie privée et d’y réagir avant qu’elles ne dégénèrent, mais vous devez être attentif aux messages
qu’ils vous transmettent. Veillez à ce que les mesures de protection visant à surveiller les activités du réseau
ou du système soient correctement mises en œuvre et soient surveillées de manière proactive. Ne vous fiez
pas uniquement aux mesures que vous avez mises en place à l’entrée. Vous devez savoir ce qui se produit à
l’intérieur de vos murs.
Le Commissariat à la protection de la vie privée du Canada est là pour vous aider. Si vous avez des questions,
n’hésitez pas à nous appeler au 1-800-282-1376. Pour de plus amples renseignements sur le signalement
d’une atteinte ou la réponse à celle-ci ainsi, que sur les mesures que prend le Commissariat lorsqu’il est mis au
courant d’une atteinte, visitez notre page Web sur les ressources relatives aux atteintes à la vie privée à
l’adresse suivante : www.priv.gc.ca/resource/pb-avp/pb-avp_intro_f.asp.
1
Veuillez consulter notre document d’orientation sur la conservation et le retrait des renseignements
personnels à http://www.priv.gc.ca/information/pub/gd_rd_201406_f.asp
__________________________________________________________________________________________________________
30, rue Victoria, 1er étage, Gatineau (Québec) K1A 1H3 • Sans frais : 1-800-282-1376 • Télécopieur : (819) 994-5424 • ATS : (819) 994-6591
www.priv.gc.ca • Suivez-nous sur Twitter : @priveeprivacy
3