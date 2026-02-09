Le 17 novembre 2025, la commissaire à l'information et à la protection de la vie privée de l'Ontario (la « CIPVP de l'Ontario ») et l'Office of the Information and Privacy Commissioner de l'Alberta (l'« OIPC de l'Alberta ») ont tous deux publié les conclusions de leurs enquêtes respectives sur un cyberincident dont a été victime un tiers fournisseur de services, PowerSchool Canada ULC (« PowerSchool »), soit le fournisseur d'une plateforme technologique éducative utilisée à grande échelle. Le cyberincident en question a touché 5,2 millions de personnes, ainsi que plusieurs écoles et conseils scolaires au Canada.

Dans leurs rapports respectifs, la CIPVP de l'Ontario et l'OIPC de l'Alberta examinent si les institutions touchées dans ces provinces avaient mis en place des mesures raisonnables pour empêcher l'accès non autorisé aux renseignements personnels. La CIPVP de l'Ontario a déterminé que certaines institutions a) n'avaient pas intégré aux contrats de services conclus avec PowerSchool des dispositions raisonnables en matière de protection de la vie privée et de sécurité des renseignements personnels, et b) n'avaient pas mis en place des mesures suffisantes en matière de supervision ou de surveillance pour veiller à la protection des renseignements personnels. L'OIPC de l'Alberta est arrivé à des conclusions similaires; selon lui, les institutions touchées dans cette province n'avaient pas mis en place des politiques ou des procédures adéquates pour répondre aux exigences de sécurité qui leur incombaient pour ce qui est de la gestion des fournisseurs de services.

Dans ce bulletin, nous présentons, à la lumière des rapports de la CIPVP de l'Ontario et de l'OIPC de l'Alberta, les changements auxquels les fournisseurs de services peuvent s'attendre au chapitre de la conclusion de contrats de services avec des institutions du service public et de la prestation de services auprès de ces dernières.

Prestation de services aux institutions gouvernementales

Dans son rapport, la CIPVP de l'Ontario met en évidence les modalités contractuelles qu'elle s'attend que les institutions gouvernementales et les tiers fournisseurs de services mettent en place pour veiller à ce que les renseignements personnels concernés soient protégés conformément aux lois canadiennes sur la protection de la vie privée. Voici quelques exemples de modalités que tout fournisseur de services devrait s'attendre à inclure dans les contrats de services qu'il conclut avec une institution du secteur public de l'Ontario (ci-après, l'« institution »), particulièrement lorsqu'il s'agit de renseignements de nature sensible :

Propriété des données : Les renseignements personnels doivent appartenir exclusivement à l'institution.

Les renseignements personnels doivent appartenir exclusivement à l'institution. Collecte, utilisation et divulgation des renseignements personnels : Le fournisseur de services ne peut pas traiter des renseignements personnels à des fins non autorisées, y compris à des fins commerciales à son avantage, sans la permission de l'institution à cet effet.

Le fournisseur de services ne peut pas traiter des renseignements personnels à des fins non autorisées, y compris à des fins commerciales à son avantage, sans la permission de l'institution à cet effet. Avis de divulgation obligatoire : Si le fournisseur de services est obligé par la loi de divulguer des renseignements personnels de l'institution, celle-ci doit en être avisée rapidement et avoir la possibilité de demander une ordonnance conservatoire ou d'autres mesures correctives afin d'empêcher cette divulgation.

Si le fournisseur de services est obligé par la loi de divulguer des renseignements personnels de l'institution, celle-ci doit en être avisée rapidement et avoir la possibilité de demander une ordonnance conservatoire ou d'autres mesures correctives afin d'empêcher cette divulgation. Sous-traitance : Le fournisseur de services ne peut pas confier en sous-traitance les services visés par le contrat de services conclu avec l'institution sans l'approbation de cette dernière. De plus, tout sous-traitant doit être lié par des obligations de confidentialité et de sécurité qui sont identiques ou équivalentes à celles qui incombent au fournisseur de services.

Le fournisseur de services ne peut pas confier en sous-traitance les services visés par le contrat de services conclu avec l'institution sans l'approbation de cette dernière. De plus, tout sous-traitant doit être lié par des obligations de confidentialité et de sécurité qui sont identiques ou équivalentes à celles qui incombent au fournisseur de services. Sécurité : Le fournisseur de services doit veiller à la sécurité et à l'intégrité des renseignements personnels qui lui sont confiés par l'institution. Lorsqu'un fournisseur de services est appelé à traiter des renseignements personnels de nature sensible, les mesures qu'il applique pour veiller à la sécurité et à l'intégrité de ces renseignements doivent faire l'objet d'une description détaillée dans un accord sur le traitement des données (Data Processing Agreement ou « DPA »). Par exemple, les exigences relatives aux mots de passe, les normes en matière de chiffrement et les obligations ayant trait à la formation des employés devraient y être précisées.

Le fournisseur de services doit veiller à la sécurité et à l'intégrité des renseignements personnels qui lui sont confiés par l'institution. Lorsqu'un fournisseur de services est appelé à traiter des renseignements personnels de nature sensible, les mesures qu'il applique pour veiller à la sécurité et à l'intégrité de ces renseignements doivent faire l'objet d'une description détaillée dans un accord sur le traitement des données (Data Processing Agreement ou « DPA »). Par exemple, les exigences relatives aux mots de passe, les normes en matière de chiffrement et les obligations ayant trait à la formation des employés devraient y être précisées. Conservation et destruction : Le fournisseur de services doit remettre à l'institution tous les renseignements confidentiels lui appartenant, y compris les renseignements personnels, et ce, au plus tard au terme du contrat. Des exigences relatives aux procédures de conservation et de destruction des documents pour la durée du contrat devraient être établies.

Le fournisseur de services doit remettre à l'institution tous les renseignements confidentiels lui appartenant, y compris les renseignements personnels, et ce, au plus tard au terme du contrat. Des exigences relatives aux procédures de conservation et de destruction des documents pour la durée du contrat devraient être établies. Audits : Le fournisseur de services devrait être tenu de se soumettre annuellement à des vérifications de la conformité en matière de protection de la vie privée et de sécurité. Des copies des rapports issus de ces vérifications devraient être fournies à l'institution et celle-ci devrait veiller à ce que le fournisseur de services remédie de façon appropriée à toute lacune identifiée.

Le fournisseur de services devrait être tenu de se soumettre annuellement à des vérifications de la conformité en matière de protection de la vie privée et de sécurité. Des copies des rapports issus de ces vérifications devraient être fournies à l'institution et celle-ci devrait veiller à ce que le fournisseur de services remédie de façon appropriée à toute lacune identifiée. Signalement des atteintes : Le fournisseur de services doit aviser l'institution de toute atteinte à ses mesures de sécurité et lui fournir des détails au sujet de l'incident.

En outre, la CIPVP de l'Ontario et l'OIPC de l'Alberta ont tous deux souligné l'importance pour les institutions de faire une évaluation préliminaire des pratiques en matière de sécurité de l'information et de protection de la vie privée de leurs fournisseurs de services et d'en faire une surveillance régulière. La CIPVP de l'Ontario et l'OIPC de l'Alberta ont également fait valoir l'importance pour les institutions de veiller à ce que des conséquences significatives soient en place pour les fournisseurs de services qui ne respectent pas les modalités de protection des données auxquelles ils sont assujettis. Il ne suffira pas aux institutions d'imposer à leurs fournisseurs de services des obligations contractuelles en matière de sécurité de l'information et de protection des renseignements personnels pour qu'elles satisfassent à leurs propres obligations en la matière.

Par exemple, bien que l'OIPC de l'Alberta ait conclu que les mesures de protection prévues aux contrats conclus avec PowerSchool étaient adéquates dans l'ensemble, il a tout de même déterminé que les institutions n'avaient pas suffisamment veillé à la protection des renseignements personnels concernés. Selon l'OIPC de l'Alberta, elles ne s'étaient pas assurées que ces mesures avaient bel et bien été mises en place, qu'elles fonctionnaient adéquatement et qu'elles auraient été maintenues pendant toute la durée du contrat de services. Par suite d'une comparaison étroite entre les obligations contractuelles en matière de sécurité de l'information imposées à PowerSchool et les politiques et pratiques de cette dernière en la matière, l'OIPC de l'Alberta a identifié plusieurs lacunes et divergences. Or, les institutions auraient dû relever ces lacunes et divergences dans le cadre de leurs processus de vérification diligente, tant à l'étape de la vérification diligente avant la conclusion du contrat de services que dans le cadre de la surveillance continue du fournisseur. De plus, pour s'acquitter de leurs obligations de protection des renseignements personnels et de nature sensible, elles auraient dû remédier à ces lacunes.

Principaux points à retenir

À la suite de la publication de ces rapports, il se peut que les institutions du secteur public sollicitent des renseignements plus détaillés auprès des fournisseurs de services au sujet de leurs pratiques en matière de sécurité de l'information et de protection des renseignements personnels avant de conclure des contrats de services avec eux. Elles pourraient également exiger d'eux qu'ils fournissent plus fréquemment des rapports d'audit sur la sécurité de l'information, des résultats de balayages des vulnérabilités et de tests d'intrusion, ou encore des preuves que des formations continues en matière de protection de la vie privée et de cybersécurité sont offertes au personnel ayant accès aux données des clients pendant toute la durée d'un contrat de services.

Il sera important pour tout fournisseur de services de veiller à trouver un juste équilibre entre le respect d'une demande faite par une institution pour de l'information additionnelle au sujet de ses pratiques en matière de sécurité de l'information et de protection des renseignements personnels et le fait de partager avec cette institution que les renseignements commerciaux confidentiels nécessaires. De plus, ces renseignements devraient être définis clairement par le fournisseur de services comme étant confidentiels, car ils pourraient être visés par une demande d'accès à l'information reçue par l'institution.

Pour en savoir davantage, communiquez avec l'une des auteures du présent bulletin ou un autre membre de notre groupe Protection de la vie privée et des données.

