Wendy J. Wagner
Associée
Cochef, groupe national Cybersécurité et protection des données; chef, Commerce international et douanes
Article
Publié05 novembre 2019
Piratage, craquage et atteinte à la vie privée : du pareil au même?
6
minutes de lecture
Les clients nous demandent souvent de leur expliquer la différence entre le « piratage » et l’« atteinte à la vie privée » lorsqu’il est question des données personnelles d’une personne. En effet, s’il est généralement accepté qu’il s’agit de concepts distincts, il reste que la définition précise de chacun d’eux et la façon dont ils éclairent les obligations juridiques d’une entreprise demeurent plutôt ambigües.
Généralement, le piratage est associé à une intention malveillante de modifier le matériel ou le logiciel d’une autre manière que celle prévue par le concepteur. L’atteinte à la vie privée peut aussi entraîner de graves conséquences, mais elle est habituellement due à l’erreur humaine, c’est-à-dire lorsque des données demeurent non sécurisés par inadvertance.
Certains ont également tenté d’établir une distinction entre le piratage et le craquage, en précisant que le piratage ne constitue pas toujours un acte de malveillance, tandis que le craquage, lui, est toujours guidé par un motif criminel[1].
Cependant, comme ces termes ne sont pas clairement définis par les institutions canadiennes, ils sont fréquemment employés de façon interchangeable dans les médias. Prenez par exemple le documentaire The Great Hack (« le grand piratage » en anglais) de Netflix, qui met en lumière le fameux scandale des données Facebook-Cambridge Analytica. Certains auteurs ont fait remarquer que ce scandale est techniquement une atteinte à la vie privée et non un cas de piratage : Cambridge Analytica n’a pas percé les mesures de sécurité de Facebook, mais a plutôt profité d’une faille dans les systèmes de la plateforme[2].
Qu’est-ce que cette distinction signifie pour les entreprises canadiennes? À vrai dire, pas grand-chose. Le Commissariat à la protection de la vie privée du Canada (CPVP) considère manifestement que le piratage relève de la notion d’atteinte à la vie privée. Par conséquent, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) définit l’« atteinte aux mesures de sécurité » de façon générale comme « la communication non autorisée ou la perte de renseignements personnels, ou l’accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation ou du fait que ces mesures n’ont pas été mises en place »[3].
Dans la foulée de la LPRPDE, la ligne directrice officielle du CPVP, « Conseils pour limiter et réduire le risque d’atteinte à la vie privée », invite les lecteurs à non seulement envisager des mesures adéquates contre les pirates informatiques (comme des systèmes de détection et de prévention des intrusions), mais à tenir compte également d’autres types de menaces à la protection de leurs données personnelles[4].
Quant à la déclaration obligatoire des atteintes aux mesures de sécurité, le fait qu’une atteinte soit malveillante ou non n’est que l’un des nombreux facteurs dont le CPVP tient compte pour évaluer le risque que des renseignements soient mal utilisés ou puissent causer des dommages importants. Dans tous les cas, il revient aux entreprises canadiennes de mettre en place des mesures de sécurité appropriées en matière de protection de la vie privée.
[1] Variété d’articles en ligne qui différencient les concepts (en anglais) : Hackers vs. Crackers: Easy to Understand Exclusive Differences: https://www.educba.com/hackers-vs-crackers/; Crack: https://www.techopedia.com/definition/10256/crack; What is Hacking?: https://www.lifewire.com/definition-of-hacking-817991; Hacker: https://searchsecurity.techtarget.com/definition/hacker.
[2] Jenny Knafo, « Data Breach vs. Data Hack » (23 mai 2019), en ligne (en anglais) : <https://blog.devolutions.net/2019/05/data-breach-vs-data-hack>.
[3] Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c 5, art. 2(1)
[4] Commissariat à la protection de la vie privée du Canada, « Conseils pour limiter et réduire le risque d’atteinte à la vie privée », en ligne : https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/protection-des-renseignements-personnels-pour-les-entreprises/mesures-de-securite-et-atteintes/atteintes-a-la-vie-privee/comment-reagir-a-une-atteinte-a-la-vie-privee-dans-votre-entreprise/c-t_201809_pb/
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.
