Feb 14, 2025

L’ombudsman du Manitoba a été informé que des atteintes à la vie privée ont été commises dans de nombreuses divisions scolaires du Manitoba qui utilisent les plateformes de gestion de données PowerSchool.

PowerSchool est une plateforme basée sur l’infonuagique utilisée par les élèves, les éducateurs et les institutions éducatives à travers le Canada. PowerSoft a fait savoir sur son site Web qu’il y avait eu « une exfiltration non autorisée de certains renseignements personnels » de ses systèmes utilisés dans tout le pays, y compris au Manitoba.

Les premières mesures à prendre par les divisions scolaires en cas d’atteinte sont de la contenir, d’en évaluer les risques et d’informer les personnes concernées. En outre, toutes les divisions scolaires concernées doivent soumettre à notre bureau des rapports d’atteinte à la vie privée, comme le prévoit la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) et la Loi sur les renseignements médicaux personnels (LRMP).

Les divisions scolaires sont-elles tenues de faire un rapport à l’ombudsman du Manitoba?

Une atteinte à la vie privée s’entend du vol ou de la perte de renseignements personnels ou de renseignements médicaux personnels, ou de tout accès ou toute utilisation, divulgation, destruction ou modification non autorisés de tels renseignements. À partir de 2022, les organismes publics et les dépositaires du Manitoba sont tenus de signaler les atteintes à la vie privée à l’ombudsman du Manitoba lorsque l’organisme public ou le dépositaire détermine qu’il existe un risque réel de préjudice grave pour une personne en raison de l’atteinte à la vie privée.

Les critères permettant de déterminer si une atteinte peut poser un risque réel de préjudice sont définis dans le règlement de la LAIPVP et dans le règlement de la LRMP. Les critères consistent notamment à déterminer s’il existe une preuve d’intention malveillante, par exemple si l’atteinte résulte d’un vol ou de l’obtention d’un accès non autorisé à un système informatique.

Les organismes d’éducation tels que les divisions scolaires, les universités et les établissements d’enseignement supérieur sont tenus de signaler les atteintes à la vie privée en vertu de la LAIPVP et sont également soumis à la LRMP s’ils détiennent des renseignements médicaux personnels.

Que se passe-t-il lorsqu’un organisme public ou un dépositaire signale une atteinte à l’ombudsman du Manitoba?

Après avoir reçu un rapport d’atteinte à la vie privée, notre équipe procède à un examen. Nous déterminons si l’organisme public ou le dépositaire a pris toutes les mesures raisonnables pour répondre à l’atteinte. Nous évaluons la conformité de l’organisme public ou du dépositaire avec la législation et le règlement pour déterminer le risque réel de préjudice grave et la manière dont les personnes concernées ont été notifiées. Nous pouvons identifier des lacunes dans la réponse et demander à l’organisme public ou au dépositaire d’y remédier. Nous pouvons également donner des conseils et formuler des recommandations, si nécessaire, pour prendre les mesures appropriées afin d’améliorer la protection de la vie privée et d’empêcher que des atteintes similaires ne se reproduisent à l’avenir.

En règle générale, les rapports finaux sur les atteintes à la vie privée sont transmis directement à l’organisme public ou au dépositaire afin qu’ils puissent apporter les améliorations nécessaires pour atténuer les préjudices et prévenir d’autres atteintes à la vie privée. Nous publions sur notre site Web les rapports finaux contenant des recommandations ou les rapports présentant un intérêt public important.

Que se passe-t-il si je suis concerné par l’atteinte?

En cas d’atteinte à la vie privée, l’organisme public est votre principale source d’informations et de mises à jour continues sur l’atteinte et sur les mesures, aides et services qu’il peut vous proposer en conséquence. Au Manitoba, de nombreuses divisions scolaires ont mis en place des pages Web dédiées pour fournir de l’information aux personnes concernées.

Vous pouvez également vous renseigner sur les conséquences que cela peut avoir pour vous, vos enfants ou les enfants dont vous avez la charge.

Ressources qui peuvent être utiles :

Avis de fuite de données pour les individus au Canada
Information pour le grand public – Centre canadien pour la cybersécurité

L’ombudsman du Manitoba a-t-il reçu des rapports d’atteinte à la vie privée de la part des divisions scolaires manitobaines touchées?

Nous avons été informés que des atteintes à la vie privée ont été commises dans de nombreuses divisions scolaires du Manitoba. Toutes les divisions scolaires concernées seraient tenues de soumettre à notre bureau des rapports d’atteinte à la vie privée, comme l’exigent la LAIPVP et la LRMP.

Nous ne ferons aucun commentaire aux médias ou aux particuliers sur une division scolaire en particulier et ne fournirons aucun autre détail pour le moment. Pour toute question, veuillez vous référer aux renseignements figurant sur la page.

L’ombudsman du Manitoba enquête-t-il sur PowerSchool?

Les organismes publics et les dépositaires du Manitoba relèvent de la compétence de l’ombudsman. PowerSchool est une société privée et n’est pas un organisme public ou un dépositaire. Lorsqu’un organisme public ou un dépositaire a recours à un « gestionnaire de l’information », il est toujours réputé avoir la garde et le contrôle des renseignements personnels.

Un gestionnaire d’information est une personne ou un organisme qui traite, stocke ou détruit des renseignements personnels et des renseignements médicaux personnels pour un organisme public ou un dépositaire, ou qui fournit des services de gestion de l’information ou de technologie de l’information à un organisme public ou à un dépositaire. L’article 25 de la LRMP et l’article 44 de la LAIPVP définissent les exigences relatives aux gestionnaires de l’information.

Lorsqu’un organisme public ou un dépositaire fournit des renseignements personnels à un gestionnaire de l’information, la LAIPVP et la LRMP exigent que l’organisme ou le dépositaire conclue un accord écrit qui prévoit la protection des renseignements contre les risques tels que l’accès, l’utilisation, la divulgation, la destruction ou la modification non autorisés, conformément aux règlements de la LAIPVP/LRMP.

Les gestionnaires de l’information doivent se conformer aux exigences des lois relatives à la protection, à la conservation et à la destruction des renseignements personnels ou des renseignements médicaux personnels, ainsi qu’aux obligations qui leur sont imposées en vertu de l’accord écrit requis.

Le 11 février 2025, le commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a annoncé que son bureau allait ouvrir une enquête sur PowerSchool, la société privée/gestionnaire de l’information impliquée dans ces atteintes à la vie privée. Ce bureau a compétence sur les entreprises privées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Puis-je déposer une plainte auprès de l’ombudsman?

Oui, vous pouvez déposer une plainte auprès de l’ombudsman concernant la manière dont un organisme public ou un dépositaire a traité vos renseignements personnels ou vos renseignements médicaux personnels, y compris dans les cas où les renseignements ont été communiqués ou partagés d’une manière qui n’est pas autorisée par la loi.

Pour les personnes concernées par des atteintes importantes à la vie privée signalées à notre bureau, celles-ci seront examinées, que nous recevions ou non des plaintes individuelles.

Quels sont vos droits en matière de protection de la vie privée?

Les organismes publics et les dépositaires du Manitoba ne doivent recueillir, utiliser, conserver ou divulguer vos renseignements personnels ou vos renseignements médicaux personnels que dans la mesure autorisée par la LAIPVP et la LRMP. Vous avez le droit :

• à la confidentialité de vos renseignements personnels ou de vos renseignements médicaux personnels, qui ne doivent être recueillis, utilisés et communiqués qu’aux fins autorisées par la LAIPVP et la LRMP
• à la protection de vos renseignements personnels et renseignements médicaux personnels par le biais de mesures de sécurité physiques, administratives et techniques
• à l’accès à vos renseignements personnels et renseignements médicaux personnels en vue de demander que des erreurs soient corrigées
• à être informé par un organisme public ou un dépositaire d’une atteinte à la vie privée lorsque cela est nécessaire
• à demander à quelqu’un d’autre d’exercer vos droits, y compris de déposer une plainte en votre nom
• à déposer une plainte auprès de l’ombudsman concernant la manière dont un organisme public ou un dépositaire a traité vos renseignements personnels et renseignements médicaux personnels ou la réponse de l’organisme à votre demande d’accès/correction de ces renseignements

Pour en savoir plus :

• Déposer une plainte
• La Loi sur l’accès à l’information et la protection de la vie privée
• La Loi sur les renseignements médicaux personnels