ARTICLE
19 May 2025

Mise en garde à l'intention des organisations traitant des données : l'ICO du R.-U. impose une amende en raison d'une brèche de sécurité

MT
Miller Thomson LLP

Contributor

Miller Thomson LLP logo
Miller Thomson LLP (“Miller Thomson”) is a national business law firm with approximately 500 lawyers across 5 provinces in Canada. The firm offers a full range of services in litigation and disputes, and provides business law expertise in mergers and acquisitions, corporate finance and securities, financial services, tax, restructuring and insolvency, trade, real estate, labour and employment as well as a host of other specialty areas. Clients rely on Miller Thomson lawyers to provide practical advice and exceptional value. Miller Thomson offices are located in Vancouver, Calgary, Edmonton, Regina, Saskatoon, London, Waterloo Region, Toronto, Vaughan and Montréal. For more information, visit millerthomson.com. Follow us on X and LinkedIn to read our insights on the latest legal and business developments.
Explore Firm Details
Lexpert Firm Profile
Le Commissariat à l'information du Royaume-Uni (Information Commissioner's Office l'« ICO ») a infligé une amende de 3,07 millions de livres sterling au fournisseur de services Advanced Computer Software Group Ltd...
Worldwide Ontario Alberta Privacy
Kathryn Frelick,Tory Hibbitt, and David Krebs
Your Author LinkedIn Connections

Le Commissariat à l'information du Royaume-Uni (Information Commissioner's Office l'« ICO ») a infligé une amende de 3,07 millions de livres sterling au fournisseur de services Advanced Computer Software Group Ltd (« Advanced ») au motif qu'il a manqué à certaines obligations en matière de sécurité des données en vertu du UK General Data Protection Regulation (Règlement général sur la protection des données du Royaume-Uni, le « Règlement du R.-U. »). L'incident a touché les renseignements personnels de 79 404 personnes au Royaume-Uni.

Cette amende fait suite à une attaque par rançongiciel perpétrée en 2022 contre la filiale d'Advanced spécialisée dans la santé et les soins, attaque qui a compromis des systèmes de soins de santé essentiels. Elle a notamment perturbé le service 111, un service en ligne géré par le National Health Service (« NHS ») d'Angleterre.

Bien que cet incident soit survenu au Royaume-Uni, les organisations tierces canadiennes qui traitent des renseignements personnels ou des renseignements personnels sur la santé au nom d'autres organisations doivent impérativement savoir que, dans certains territoires de compétence, les organismes de réglementation de la vie privée peuvent appliquer les lois sur la protection de la vie privée directement à l'encontre des fournisseurs de services tiers. Au Canada, de telles mesures sont généralement prises à l'encontre des entités qui ont la garde ou le contrôle de ces renseignements personnels et qui en sont ultimement responsables – appelées responsables du traitement des données ( controllers en anglais) dans le Règlement du R.-U. ou, au Canada, « organisation », « dépositaire » ou « fiduciaire ». Certains risques pèsent néanmoins sur les fournisseurs de services tiers.

L'absence d'authentification multifacteur : une faille coûteuse

Advanced fournit des services informatiques et logiciels à diverses organisations, dont le NHS du R.-U. La cyberattaque menée en août 2022 s'est produite lorsque des auteurs malveillants externes ont accédé aux systèmes de l'entreprise par l'intermédiaire du compte d'un client non protégé par un mécanisme d'authentification multifacteur (AMF, à ne pas confondre avec l'Autorité des marchés financiers) La brèche a grandement perturbé les services de santé et compromis les renseignements personnels sensibles de milliers de personnes, y compris sur la manière d'accéder à la résidence de 890 personnes qui recevaient des soins à domicile.

Constatations de l'enquête

L'enquête de l'ICO a révélé que la filiale d'Advanced spécialisée dans la santé et les soins avait mis en place des mesures de sécurité inadéquates, notamment :

  • le déploiement incomplet d'un mécanisme d'AMF;
  • un suivi des vulnérabilités insuffisant; et
  • une gestion inadéquate des mises à jour correctives.

L'ICO avait d'abord prévu d'infliger une amende de 6,09 millions de livres sterling à Advanced, mais elle l'a ensuite réduite compte tenu de l'engagement proactif de l'entreprise auprès des agences de cybersécurité et des organismes d'application de la loi, ainsi que de ses efforts d'atténuation. L'ICO et Advanced se sont entendues sur un règlement volontaire de l'affaire et l'imposition d'une amende réduite.

Remarque importante à retenir

Cette décision est importante, car elle renforce les attentes en matière de protection de la vie privée et de sécurité à l'égard des fournisseurs de services tiers. Les organismes de réglementation du Royaume-Uni et d'autres territoires de compétence n'hésiteront pas à imposer des sanctions aux fournisseurs de services, en particulier aux organisations traitant des renseignements personnels sensibles ou fournissant des services dans le secteur des soins de santé.

Facteurs à prendre en considération en vertu des lois canadiennes

À l'instar du Règlement du R.-U. et de la loi européenne sur la protection des données, la Loi sur la protection des renseignements personnels et les documents électroniquesLPRPDE ») stipule que les organisations qui recueillent, utilisent ou communiquent des renseignements personnels doivent mettre en œuvre des mesures de sécurité appropriées pour prévenir les violations de renseignements personnels, y compris lorsque ces renseignements sont traités par des tiers.

Obligations d'origine législative des fournisseurs de services en vertu de la LPRPDE

Le Règlement du R.-U. prévoit des exigences particulières pour les fournisseurs de services en ce qui concerne les mesures de sécurité (article 32(1)). Bien que la LPRPDE ne fasse pas expressément référence aux « fournisseurs de services », les entreprises qui fournissent à d'autres organisations des services liés aux renseignements personnels contrôlés par ces entités sont tout de même considérées comme des « organisations » en vertu de la LPRPDE et sont par conséquent assujetties à ses dispositions en matière de sécurité. Celles-ci portent notamment sur :

  • les mesures techniques (par exemple, le chiffrement, l'AMF et des mesures d'authentification sécurisées);
  • les mesures administratives (par exemple, une formation sur la sécurité et des audits de sécurité périodiques); et
  • les moyens matériels (par exemple, la restriction de l'accès physique).

Au-delà de la LPRPDE : lois provinciales sur la protection des renseignements personnels sur la santé

En ce qui concerne les organisations fournissant des services liés au traitement de renseignements personnels sur la santé, ces fournisseurs de services doivent impérativement prendre en considération l'application des lois provinciales sur la protection de la vie privée dans le domaine de la santé, telles que la Loi de 2004 sur la protection des renseignements personnels sur la santéLPRPS ») de l'Ontario ou la Health Information ActHIA ») de l'Alberta, qui régissent la collecte, l'utilisation et la divulgation de renseignements personnels sur la santé par les dépositaires de renseignements sur la santé.

Si les fournisseurs de services ne sont pas eux-mêmes considérés comme des « dépositaires » au sens de ces lois, ils n'en demeurent pas moins soumis à des obligations d'origine législative. Les fournisseurs de services sont soumis à la loi lorsqu'ils concluent un contrat avec un dépositaire s'ils sont considérés comme un « affiliate » (société affiliée) ou un « information manager » (gestionnaire de renseignements) (en Alberta), ou comme un « mandataire », un « fournisseur de services électroniques » ou un « fournisseur d'un réseau d'information sur la santé » (« FRIS ») (en Ontario), au sens donné à ces termes dans les lois respectives.

HIA de l'Alberta : responsabilités des gestionnaires de renseignements

Par exemple, en vertu de la HIA, un fournisseur de services considéré comme un « gestionnaire de renseignements » au sens du paragraphe 66(1) – c'est-à-dire une personne ou un organisme qui :

  • traite, stocke, récupère ou élimine des renseignements sur la santé;
  • trie, code ou transforme des renseignements sur la santé identifiables individuellement afin de créer des renseignements sur la santé non identifiables; ou
  • fournit des services de gestion des renseignements ou des services de technologie de l'information d'une manière qui nécessite l'utilisation de renseignements sur la santé –

est tenu de se conformer à la HIA, à son règlement et aux dispositions d'un accord de gestion des renseignements (« AGR »).

Un gestionnaire de renseignements qui enfreint sciemment les dispositions d'un AGR peut être tenu responsable d'un délit et faire l'objet d'une sanction en vertu du paragraphe 107(4) de la HIA.

LPRPS de l'Ontario : obligations strictes applicables aux FRIS et autres fournisseurs de services

La LPRPS et le règlement 329/04 (le « Règlement ») imposent des obligations particulières aux mandataires, aux fournisseurs de services électroniques et aux FRIS, qui sont définis comme suit :

« une personne qui fournit des services à deux dépositaires de renseignements sur la santé ou plus principalement dans le but de leur permettre d'utiliser des moyens électroniques pour se divulguer entre eux des renseignements personnels sur la santé… ».

Les obligations imposées aux FRIS par le Règlement sont très normatives. Par exemple, un FRIS doit :

  • conclure un accord écrit avec chaque dépositaire de renseignements sur la santé qui décrit les services et les mesures de précaution d'ordre administratif, technique et physique qui existent afin d'assurer le caractère confidentiel et la protection des renseignements;
  • évaluer les menaces et les risques ainsi que les effets sur la vie privée, et remettre à chaque dépositaire de renseignements sur la santé concerné une copie des résultats obtenus; et
  • se conformer à la LPRPS et au Règlement.

Application de la loi et risques réputationnels

Même lorsqu'une infraction aux lois sur la protection de la vie privée ne donne pas lieu à des sanctions, une enquête menée par le Commissaire à l'information et à la protection de la vie privée compétent et la publication de conclusions défavorables peuvent nuire considérablement à la réputation de l'entreprise.

En Ontario, les modifications apportées à la LPRPS ont considérablement élargi les pouvoirs du Commissaire en matière d'enquête, d'examen et d'application de la loi. Outre son pouvoir général de rendre des ordonnances et d'intenter des poursuites en cas d'infraction à la LPRPS, le Commissaire a également le pouvoir d'imposer des sanctions administratives à une personne s'il estime qu'elle a enfreint la LPRPS et le Règlement.

À retenir : connaissez les obligations d'origine législative à respecter dans chaque territoire de compétence

Ce sont là des exemples d'obligations d'origine législative qui peuvent s'appliquer directement aux fournisseurs de services. Les lois sur la protection des renseignements personnels sur la santé varient d'une province à l'autre et comportent certaines différences. Quel que soit le territoire de compétence concerné, cependant, il est essentiel de connaître et de comprendre la loi sur la protection de la vie privée applicable afin de s'assurer de sa conformité et d'éviter les risques liés aux atteintes à la vie privée ou à la sécurité.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Kathryn Frelick
Kathryn Frelick
Photo of Tory Hibbitt
Tory Hibbitt
Photo of David Krebs
David Krebs
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More