Encryption Best practices meeting legal obligation

27 octobre 2023

Articles

Author:

Que signifie « chiffrer » des données? Et comment une organisation détermine-t-elle si les protocoles de chiffrement qu’elle a mis en place sont adéquats?

La Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE) oblige les entreprises à protéger leurs renseignements personnels au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Les méthodes de protection possibles sont nombreuses, mais le principe 4.7 stipule que des mesures techniques, comme l’usage de mots de passe et le chiffrement, devraient normalement être en place.

Dans son guide sur la façon de prévenir les atteintes à la vie privée et d’y réagir, le Commissariat à la protection de la vie privée du Canada (le CPVP) recommande aussi aux entreprises de chiffrer leurs ordinateurs portables ainsi que tout autre dispositif portatif, une obligation qui sera certainement maintenue dans la nouvelle législation fédérale visant à remplacer la LPRPDE, qui est en cours d’examen au Parlement.

Le présent article comporte des informations générales sur le chiffrement et décrit les pratiques exemplaires que les organisations doivent adopter afin de satisfaire aux exigences qui leur sont imposées. Nous encourageons vivement les lecteurs à consulter un conseiller de confiance en matière de cybersécurité et de technologies de l’information, qui saura répondre aux besoins particuliers de leur organisation.

Qu’est-ce que le chiffrement?

Élément clé de l’économie numérique, le chiffrement permet de sécuriser les transferts de données en convertissant le contenu en un texte codé, puis en décodant ce texte pour restituer le contenu d’origine à l’aide d’une clé donnée. Il sert également à protéger des données statiques, par exemple si elles sont stockées dans une base de données ou sur un lecteur chiffrés.

Le chiffrement moderne se présente sous deux formes principales : symétrique et asymétrique.

Le chiffrement symétrique consiste à utiliser une seule et même clé pour chiffrer et déchiffrer du contenu. À l’inverse, avec le chiffrement asymétrique, il faut une clé publique pour chiffrer le contenu et une clé privée distincte pour le déchiffrer[1]. Quiconque souhaite envoyer un contenu chiffré à un utilisateur peut télécharger la clé publique (par exemple sur leur site Web) et l’utiliser pour coder le message. En revanche, un autre utilisateur ne peut pas déchiffrer le message à moins de posséder la clé privée de l’expéditeur[2].

Que sont les normes de chiffrement?

Il existe plusieurs normes de chiffrement, dont :

la norme de chiffrement avancé (AES)
la norme de chiffrement des données (DES)
l’algorithme de chiffrement Twofish
le chiffrement RSA (Rivest Shamir Adleman)
la cryptographie à courbe elliptique (ECC)

Chacune répond à des objectifs d’utilisation différents et présente à la fois des avantages et des inconvénients. Le choix de recourir à l’une ou à l’autre de ces normes dépend de certains facteurs, comme la sensibilité des données, les besoins des utilisateurs, les fonctionnalités souhaitées et le coût.

D’un point de vue législatif, il y a relativement peu de directives sur les normes de chiffrement au Canada : la jurisprudence à cet égard est rare et la LPRPDE ne prescrit pas de forme ou de norme particulière, ce qui n’a rien de surprenant compte tenu des principes relatifs à l’équité dans le traitement de l’information décrits dans la Loi et du rythme de croissance et d’évolution exponentiel des technologies de l’information.

Lors d’une enquête récente[3], le CPVP s’est prononcé sur la situation d’une organisation qui n’avait pas recouru au chiffrement pour sécuriser sa base de données et ses données. En effet, elle aurait plutôt stocké des renseignements personnels de nature délicate dans des dossiers partagés largement accessibles aux employés.

Bien que l’organisation en question ait fait valoir que le chiffrement n’aurait pas empêché les actes malveillants commis par le cyberpirate (puisque ce dernier avait accès à un compte administrateur), le CPVP a toutefois fait remarquer :

qu’un administrateur n’a pas nécessairement besoin d’avoir accès à toutes les clés de chiffrement;
qu’une organisation peut segmenter l’accès et les permissions afin de réduire au minimum les effets d’un compte unique compromis.

Il affirme :

« Le chiffrement des données d’entreprise est une pratique exemplaire standard. Dans ce contexte, puisque les dossiers contenaient des renseignements personnels de nature délicate, le CPVP se serait attendu à ce qu’il y ait du chiffrement. »

Une autre enquête du CPVP a révélé qu’une chaîne hôtelière avait omis d’appliquer systématiquement des mesures de chiffrement aux renseignements personnels sensibles recueillis auprès de ses clients, y compris des numéros de passeport et des numéros de cartes de paiement. Le CPVP affirme que la chaîne employait la norme AES-128 pour chiffrer la plupart des numéros de cartes de paiement, sans toutefois fournir plus de détail à ce sujet[4].

Encore dans le cadre d’une enquête du CPVP[5], le répondant a indiqué avoir utilisé le protocole de chiffrement SSL de 128 bits pour chiffrer les données en transit, et a affirmé que cette norme de sécurité est semblable à celles utilisées dans le secteur bancaire. Par contre, rien ne prouve que le répondant ait aussi chiffré ses données statiques, ce qui les a rendues vulnérables.

À l’instar du Commissariat à la protection de la vie privée du Canada, les commissariats provinciaux ont également formulé des avis sur le chiffrement en tant que mesure de protection des données. Cependant, aucune publication récente ne semble porter sur la pertinence des différentes formes et normes de chiffrement.

Pratiques exemplaires de chiffrement des données

Évaluez les informations dont vous disposez

Afin de bien les protéger, votre organisation doit d’abord savoir quel type de renseignements elle recueille, utilise et conserve. Pour ce faire, des professionnels spécialisés dans la protection de la vie privée et dans les technologies devraient se concerter et recenser vos pratiques actuelles en matière de collecte et de traitement des données.

Élaborez un programme de cybersécurité

Si votre organisation ne dispose pas d’un programme de cybersécurité détaillé, il est fortement recommandé d’en mettre un en place. En fait, si le projet de loi C-26 est adopté, disposer d’un tel programme pourrait devenir obligatoire pour certaines organisations.

Analysez votre utilisation actuelle du chiffrement

Votre organisation a probablement déjà recours à plusieurs formes de chiffrement.

En examinant les circonstances où le chiffrement est employé comme mesure de protection et, surtout, les circonstances où il ne l’est pas, vous serez mieux à même de cerner les lacunes potentielles. Cela concerne non seulement les données en transit, mais également celles qui sont statiques (par exemple, stockées dans une base de données).

Consultez des experts

Faites appel à des professionnels techniques pour vérifier que les normes de chiffrement utilisées par votre organisation sont adaptées au degré de sensibilité des données.

Déterminez si votre organisation aurait avantage à appliquer des normes industrielles ou techniques particulières (comme la série ISO/IEC 18033 relative aux systèmes de chiffrement à des fins de confidentialité des données).

Protégez les clés de chiffrement

Traitez la sécurité des coffres-forts et des clés de chiffrement séparément de la sécurité des autres renseignements confidentiels.

Ajoutez le chiffrement à vos mesures de protection de la vie privée

Le chiffrement ne peut pas empêcher les violations de données de se produire; il ne fait que réduire la probabilité qu’un cybercriminel puisse utiliser les données qu’il a obtenues. Il s’agit d’un complément, et non d’un remplacement, aux autres méthodes de gestion de la protection de la vie privée et de protection des données, telles que :

recueillir le moins de renseignements personnels possible (ce qui réduit la quantité de données à chiffrer)
classer et baliser les données en fonction de leur degré de sensibilité
restreindre l’accès général aux renseignements personnels, et le limiter aux personnes autorisées (et, si possible, isoler l’accès entre ces dernières)
limiter l’utilisation des dispositifs de stockage portables, au besoin
utiliser des mots de passe forts (qui contiennent des chiffres et des caractères spéciaux)
limiter les données conservées à long terme grâce à des protocoles de conservation et de destruction adéquats.

Informez-vous grâce à des ressources complémentaires

Pensez à consulter des ressources publiques disponibles en ligne, telles que le Centre canadien pour la cybersécurité.

Vous cherchez à obtenir des conseils pour déterminer si vos pratiques en matière de chiffrement satisfont à vos obligations légales? Communiquez avec un membre du groupe Cybersécurité et protection des données de Gowling WLG pour en discuter.

[1] Nathan Saper, International Cryptography Regulation and the Global Information Economy, 11 Nw J Tech & Intell Prop 673 (2013) au paragraphe 7 (citations omises). Accessible en ligne (en anglais).

[2] Ibid.

[3] Conclusions en vertu de la LPRPDE n^o 2023-002, « Enquête sur les pratiques d’Agronomy en matière de protection des renseignements personnels concernant les mesures de sécurité, la responsabilisation et le consentement valide pour la collecte et l’utilisation de renseignements personnels ». Accessible en ligne.

[4] Conclusions en vertu de la LPRPDE n^o 2022-005, « Après l’acquisition d’une entreprise concurrente, une chaîne hôtelière découvre une atteinte à sa base de données de clients ». Accessible en ligne.

[5] Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2018-006, « Intrusion dans la base de données de l’Agence mondiale antidopage ». Accessible en ligne.

CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.

Sujet(s) similaire(s) Technologie, Cybersécurité et protection des données, Lois sur la protection de la vie privée au Canada : de nouvelles règles pour une nouvelle ère

Rechercher dans articles et ressources par catégorie

Portée mondiale

Pourquoi Gowling WLG

Le chiffrement : pratiques exemplaires à adopter pour satisfaire à vos obligations légales