À l’issue de ses enquêtes sur l’incident de violation de données de l’Urban Renewal Authority, le Bureau du Commissaire à la protection de la vie privée pour les données personnelles (PCPD) a publié aujourd’hui les conclusions de l’enquête. Le PCPD a également publié en parallèle un « Guide sur le cloud computing ».

(1) Incident de violation de données de l’Urban Renewal Authority (URA) L’enquête découle d’une notification de violation de données soumise par l’URA au PCPD le 13 mai 2024, signalant

que les données personnelles des membres du public stockées sur une plateforme cloud par l’URA étaient accessibles à toute personne sans saisir de compte ou de mot de passe (l’incident).

Contexte L’URA a utilisé la plateforme de formulaires électroniques (la plateforme de formulaires électroniques) associée à la plateforme cloud ArcGIS Online pour créer deux formulaires électroniques aux fins des séances d’information sur l’acquisition de biens dans le cadre du projet de développement de la route Nga Tsin Wai / Carpenter Road. L’URA a lancé les formulaires électroniques le 2 mai 2024 pour que les propriétaires, locataires et exploitants de magasins participant aux séances d’information puissent remplir les informations nécessaires à l’inscription. Selon l’URA, elle a effectué plusieurs contrôles de sécurité lors de la création des formulaires électroniques. Après avoir reçu la notification de la police le 3 mai 2024 selon laquelle certaines données des formulaires électroniques pourraient avoir été divulguées, l’URA a immédiatement cessé d’utiliser la plateforme cloud ArcGIS Online et a supprimé les données personnelles qui y étaient stockées. L’URA a ensuite appris que les données personnelles des personnes qui s’étaient inscrites pour assister aux séances d’information étaient accessibles à toute personne sans se connecter à un compte avec mot de passe. Elle a donc soumis une notification de violation de données au PCPD le 13 mai 2024. L’incident a affecté les données personnelles de 199 propriétaires et locataires qui avaient répondu pour assister aux séances d’information. Les données personnelles concernées comprenaient les numéros de téléphone, les noms des personnes de contact et les détails de leur propriété ou de leurs adresses de correspondance.En réponse à l’incident, l’URA a mené une enquête conjointe avec le prestataire qui a fourni la plateforme de formulaires électroniques et a découvert qu’il existait différentes versions du logiciel de la plateforme de formulaires électroniques. La nouvelle version est disponible en téléchargement depuis juillet 2022. En particulier, les valeurs par défaut concernant le partage des données étaient différentes entre l’ancienne et la nouvelle version. Pour les valeurs par défaut de la nouvelle version, ce n’est que lorsque les utilisateurs ont effectué un certain nombre de paramètres supplémentaires que le logiciel leur permettait de visualiser les données saisies sans avoir à se connecter. Le logiciel utilisé par l’URA pour créer les formulaires était cependant une ancienne version qu’elle avait téléchargée et installée auparavant. Par conséquent, les valeurs par défaut susmentionnées de la nouvelle version, qui renforçaient la protection des données des utilisateurs, n’ont pas été appliquées aux formulaires électroniques en question. D’autre part, l’URA a confirmé que, comme son personnel n’avait pas une connaissance et une compréhension suffisantes des versions pertinentes de la plateforme de formulaires électroniques, lors des tests des formulaires électroniques, l’URA n’a pas examiné en détail les paramètres de partage de données pertinents et n’a pas effectué de tests de sécurité sur les fonctions concernées, ce qui a conduit à la survenue de l’incident. L’URA a convenu que si le logiciel utilisé par l’URA à l’époque des faits avait été la dernière version de la plateforme de formulaires électroniques, l’incident ne se serait pas produit.Sur la base des informations fournies par l’URA, après avoir pris connaissance de l’incident, l’URA a immédiatement informé le public, s’est efforcée de garantir qu’il n’y ait pas de fuite de données personnelles des citoyens et a minimisé l’impact ou les inconvénients causés aux membres du public. L’URA s’est également efforcée de tirer les leçons de l’incident et a mis en œuvre une série de mesures d’amélioration organisationnelles et techniques pour établir un cadre de sécurité de la confidentialité plus solide et une culture d’entreprise qui valorise la protection des données personnelles afin d’éviter que des incidents similaires ne se reproduisent.

Conclusions de l’enquête

Au cours de l’enquête, le PCPD a mené cinq séries d’enquêtes auprès de l’URA et a contacté le sous-traitant à deux reprises pour obtenir des informations pertinentes concernant l’incident. Le PCPD a remercié l’URA et le sous-traitant pour leur coopération et la fourniture des informations et documents demandés dans le cadre de l’enquête.   

Après avoir examiné les circonstances de l’ incident et les informations obtenues au cours de l’enquête, la Commissaire à la protection de la vie privée pour les données personnelles (Commissaire à la protection de la vie privée) , Mme Ada CHUNG Lai-ling, a conclu que les lacunes suivantes de l’ URA étaient les principaux facteurs contribuant à la survenue de l’ incident :

1.  Manque de mise à jour du logiciel en temps utile pour garantir que le logiciel utilisé était la version la plus récente. L’URA n’avait pris aucune mesure pour vérifier si le logiciel de la plateforme de formulaires électroniques qu’elle utilisait était la version la plus récente et n’avait pas mis à jour le logiciel ;

2. Manque de compréhension du logiciel utilisé pour collecter les données personnelles et incapacité à élaborer et à réaliser des tests de sécurité efficaces et complets pour l’utilisation du logiciel, ce qui a entraîné l’omission de certaines fonctions clés dans le contrôle de sécurité des formulaires. En fin de compte, l’URA n’a pas pu détecter à temps que les données étaient ouvertes à l’accès public, ce qui a finalement conduit à la survenance de l’incident.

Français Sur la base de ce qui précède, le Commissaire à la protection de la vie privée a conclu que l’URA n’avait pas pris toutes les mesures possibles pour garantir que les données personnelles concernées étaient protégées contre tout accès, traitement, effacement, perte ou utilisation non autorisés ou accidentels, contrevenant ainsi au principe de protection des données (DPP) 4(1) de l’ ordonnance sur les données personnelles (confidentialité) (« l’ordonnance ») concernant la sécurité des données personnelles.

Le Commissaire à la protection de la vie privée a adressé une lettre d’avertissement à l’URA, lui demandant de prendre des mesures pour renforcer la protection des données personnelles qu’elle détient afin d’empêcher que des infractions similaires ne se reproduisent à l’avenir .

(2)       « Orientations sur le cloud computing »

À la lumière de la popularité croissante des services de cloud computing, le PCPD a en parallèle mis à jour les Orientations sur le cloud computing (« Orientations ») pour expliquer les exigences pertinentes de l’ordonnance qui sont applicables au cloud computing en vue d’aider les organisations qui utilisent le cloud computing à renforcer la protection de la confidentialité des données personnelles.

En tenant compte des dernières technologies et tendances en matière de services de cloud computing, le guide fournit des mesures recommandées sur divers aspects pour que les organisations puissent mieux protéger la confidentialité des données personnelles, couvrant des aspects tels que les modèles de service et de déploiement, les services et contrats standard ainsi que les accords d’externalisation. Les principales mesures recommandées sont les suivantes :

• Modèles de service et de déploiement :
  • Les fournisseurs de services cloud peuvent mettre à jour leurs services de temps à autre pour proposer de nouvelles fonctionnalités ou configurations. Par conséquent, les organisations doivent prendre note de ces mises à jour et prendre les mesures correspondantes, notamment en mettant à jour les logiciels concernés et/ou en ajustant les configurations appropriées ;
  • Les clouds privés dédiés permettent généralement aux organisations d’avoir plus de contrôle et de confidentialité que les clouds publics partagés. Les organisations qui envisagent d’utiliser des clouds publics partagés doivent examiner attentivement les responsabilités et les dispositions pertinentes en matière de protection de la confidentialité des données personnelles et prendre les mesures correspondantes ;
  • Il serait plus difficile pour les organisations qui utilisent le logiciel en tant que service (SaaS) dans leur modèle de service d’exercer un contrôle direct sur les données personnelles dont elles sont responsables. Ces organisations doivent évaluer les risques associés à de tels arrangements et les atténuer en fonction des circonstances réelles ;
• Services et contrats standards : Si le niveau de sécurité standard ou l’engagement de protection des données personnelles pris par un fournisseur de services cloud ne répond pas aux exigences de l’organisation, celle-ci doit demander des services personnalisés au fournisseur et négocier des conditions contractuelles qui répondent à ces exigences. Les organisations doivent également trouver des moyens (tels que des rapports d’audit ou des déclarations) de vérifier les mesures de protection et de sécurité des données adoptées par les fournisseurs de services cloud ;
• Accords d’externalisation : s’il existe un accord de sous-traitance, les organisations doivent s’assurer qu’elles obtiennent l’assurance contractuelle du fournisseur de services cloud que le même niveau de protection et de contrôles de conformité s’applique à leurs sous-traitants ;
• Autres:
  • Journalisation : conservez les pistes d’audit fournies par les fournisseurs de services cloud et examinez régulièrement les journaux pour détecter les activités anormales ;
  • Configuration utilisateur appropriée : les organisations doivent bien comprendre les fonctions des configurations et s’assurer que leur accès aux services cloud est correctement configuré en référence aux cas d’utilisation individuels ;
  • Cryptage en transit et au repos : les données personnelles doivent être cryptées lorsqu’elles sont stockées dans le cloud, et les organisations peuvent souhaiter choisir des fournisseurs de services cloud qui proposent un cryptage au repos dans leurs services ;
  • Activer l’authentification multifacteur ; et
  • Effacement des données : une organisation doit s’assurer que le contrat contient des dispositions exigeant l’effacement ou la restitution des données personnelles détenues par le fournisseur de services cloud à l’organisation à la demande de l’organisation, ou à l’achèvement ou à la résiliation du contrat.

La Commissaire à la protection de la vie privée, Mme Ada CHUNG Lai-ling, a déclaré : « Les organisations qui utilisent le cloud computing et les fournisseurs de services cloud ont la responsabilité partagée de garantir la sécurité des données dans un environnement cloud, y compris la sécurité des données personnelles stockées sur le cloud, et de se conformer aux exigences pertinentes de l’ ordonnance sur la protection de la vie privée . J’encourage les organisations à adopter les mesures recommandées dans le guide, telles que le chiffrement des données personnelles stockées sur le cloud, la garantie que seules les personnes autorisées peuvent accéder aux données personnelles stockées sur le cloud, la compréhension des dernières fonctions ou configurations fournies par les fournisseurs de services cloud et la garantie que le contrat contient des dispositions exigeant l’effacement ou la restitution des données personnelles détenues par le fournisseur de services cloud à l’issue du contrat. »

Téléchargez le nouveau « Guide sur le cloud computing » :

https://www.pcpd.org.hk/english/resources_centre/publications/files/IL_cloud_e.pdf

https://www.pcpd.org.hk/english/news_events/media_statements/press_20250109.html